我看到这行很多日志:
Nov 7 03:47:41 s1 sshd[23430]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 05:08:16 s1 sshd[24474]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 06:33:59 s1 sshd[25526]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 08:06:33 s1 sshd[26601]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 09:24:14 s1 sshd[27460]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 10:59:49 s1 sshd[28821]: Received disconnect from XX.XXX.XX.XX: 11: Nov 7 12:14:39 s1 sshd[29894]: Received disconnect from XX.XXX.XX.XX: 11: 我只在这里粘贴了7行,但是在日志文件中有数百行。 IP永远是一样的。
我被告知这表明我的服务器被黑客攻击者以某种方式设法清除了注册login信息的日志条目,因为为了有一个“断开”的消息,我必须有一个“Accepted …”相同的IP之前。 这是真的?
我的问题是:
服务器运行CentOS并closuresSSH密码authentication。 唯一logging“Accepted publickey …”的日志来自我自己的公共IP地址。 所以我猜他们没有通过这种方法login,除非攻击者真的清除任何痕迹,对吗?
提前谢谢了。
这是蛮力攻击
这是方法试图findlogin访问发送login请求,然后testing结果,只要结果没有login,它重试login/密码的另一个组合,直到访问被授予
主要针对互联网:
防止这种攻击:
今天,大多数系统工具都能够抵御这种攻击
我不认为你会被黑客攻击,除非你有一对夫妇login/密码水平低。 除了尝试失败之外,这个日志不会说任何事情。
如果黑客已经login,他们将删除所有的日志,不仅仅是一些日志(太多的时间没有)。
你可以做什么(如果你真的认为你被黑客攻击)是检查你是否有一段没有日志或错误日志。
作为build议你可以使用一些工具来防止像fail2ban这样的thoose攻击
有关信息,在您的情况下消息SSH2_DISCONNECT_BY_APPLICATION意味着这是一个僵尸login尝试从一个僵尸networking在Java中创作
这只是探测浏览互联网的“垃圾邮件”。 如果您不允许使用密码authentication,那么它们并不危险。 这些消息可能只是噪音,因为他们通常不知道任何其他authentication,而不是密码。
为了减less噪音,可以设置一些fail2ban , fwknop或将服务移动到其他端口。