- 主题:ssh服务崩溃,是被攻击了吗?
最近有台虚拟机ssh服务偶尔崩溃
目前发现已经是第二次了
崩溃的时候,控制台也无法登陆了,只能拔电重启
除了ssh服务外,服务器的其他服务好像还正常
因为是在内网,所以默认的22端口也没改
是不是遭遇了ssh的暴力破解攻击?
内网还有一些其他的服务器,更改端口了的都没遇到这个情况。
--
FROM 202.98.17.*
应该是虚拟化平台宿主机
因为是内网,所以,觉得安全应该没啥问题,就没换ssh端口
查了各种日志,也看不出来有啥问题。
但是,我感觉这个症状,像是在被暴力破解
暂时没看出啥问题,我就把ssh换了端口,又在iptables上做了ip白名单访问控制
【 在 Dazzy 的大作中提到: 】
: 查虚拟机各路日志啊。虚拟机拔电重启?是说在hypervisor控制那里强制重启虚拟机吗?
: 如果这个虚拟机不重要,你可以慢慢玩,还可以搞在那个虚拟机上搞个看门狗脚本,万一ssh或者控制台服务崩了,就重启服务。
: #发自zSMTH@Redmi Note 11
: ...................
--
FROM 202.98.17.*
这种级别的攻击,感觉换端口就能解决
一般都不是有针对性的攻击
这种都是全扫描22端口,有开放的,才暴力破解
换了端口,就没人扫了
【 在 imchenghaibo 的大作中提到: 】
: 换端口也没用,别人扫出来挨个试试端口就行了。
--
FROM 202.98.17.*
没禁密码登陆
【 在 ttaudi 的大作中提到: 】
: 是禁止密码登录,只能用秘钥登录的吧?
--
FROM 202.98.17.*
我的其他换端口的服务器,都没啥问题
我们这种也不是高价值的主机,没有人闲的蛋疼去特意扫描攻击
我的常规做法是换个端口,再用ipset做访问ip白名单
基本就可以保证万无一失了
【 在 imchenghaibo 的大作中提到: 】
: 那我也改了吧
: 一般都不是有针对性的攻击
: 这种都是全扫描22端口,有开放的,才暴力破解
: ...................
--
FROM 202.98.17.*
我这个是内网的服务器,也不是高价值的东西
感觉就是被菜鸟用工具扫到了,然后用工具暴力破解
暴力破解就容易造成服务崩溃。
【 在 ArchLinux 的大作中提到: 】
: 我看到标题第一个想法是有人在利用liblzma的后门,回帖里面好像没人提这个。不过根据网上看到的分析,这个后门只有掌握了某个私钥才能利用,一般攻击者是利用不到的。
--
FROM 202.98.17.*
fail2ban太麻烦了。
【 在 Quanm 的大作中提到: 】
: fail2ban 搞一下拉倒
--
FROM 202.98.17.*