最近,我通过防火墙打开SSH端口(并redirect到我的服务器),以便我可以在路上检查(http)服务器。 头一两个星期没有什么不同。 但是现在,三四个星期之后,我看到很多这样的东西:
Mar 20 08:38:28 localhost sshd[21895]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root Mar 20 08:38:31 localhost sshd[21895]: Failed password for root from 207.210.101.209 port 2854 ssh2 Mar 20 15:38:31 localhost sshd[21896]: Received disconnect from 207.210.101.209: 11: Bye Bye Mar 20 08:38:32 localhost unix_chkpwd[21900]: password check failed for user (root) Mar 20 08:38:32 localhost sshd[21898]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root Mar 20 08:38:34 localhost sshd[21898]: Failed password for root from 207.210.101.209 port 3729 ssh2 Mar 20 15:38:35 localhost sshd[21899]: Received disconnect from 207.210.101.209: 11: Bye Bye Mar 20 08:38:36 localhost unix_chkpwd[21903]: password check failed for user (root) Mar 20 08:38:36 localhost sshd[21901]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root Mar 20 08:38:38 localhost sshd[21901]: Failed password for root from 207.210.101.209 port 4313 ssh2 Mar 20 15:38:38 localhost sshd[21902]: Received disconnect from 207.210.101.209: 11: Bye Bye Mar 20 08:38:40 localhost unix_chkpwd[21906]: password check failed for user (root) Mar 20 08:38:40 localhost sshd[21904]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root Mar 20 08:38:42 localhost sshd[21904]: Failed password for root from 207.210.101.209 port 4869 ssh2 Mar 20 15:38:43 localhost sshd[21905]: Received disconnect from 207.210.101.209: 11: Bye Bye Mar 20 08:38:44 localhost unix_chkpwd[21909]: password check failed for user (root) Mar 20 08:38:44 localhost sshd[21907]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=mail.queued.net user=root Mar 20 08:38:46 localhost sshd[21907]: Failed password for root from 207.210.101.209 port 2512 ssh2 Mar 20 15:38:47 localhost sshd[21908]: Received disconnect from 207.210.101.209: 11: Bye Bye Mar 20 15:38:57 localhost sshd[21912]: Connection closed by 207.210.101.209 3月20日这些线路大约有1100条,第19条为零,第18条为800条左右,都与同一知识产权有关。
这是什么意思? 我该怎么办? 为什么不按时间顺序?
这些脚本kiddie试图通过ssh在你的盒子上获得根。 我发现处理这些最好的方法是:
将有新手在如何设置端口到不同的数字是安全通过默默无闻。 是和不是。 它不会让你的盒子更安全,但是它会大大减less脚本试图破解ssh的次数。
编辑:
其他好的事情是,禁用rootlogin,以防万一他们猜测你的root密码或完全禁用密码authentication,并使用基于密钥的authentication。
可以使用一个叫做端口敲击的技术,让你保持你的SSH端口closures,直到你请求(外部)。
上面的答案解释了为什么你的SSH服务器获得了许多身份validation的尝试。
至于“为什么不按时间顺序?”,看起来你的时区设置可能有问题。 所有的日志似乎是顺序的,只是在不同的时间(分钟和秒钟排队)。
尝试运行:
sudo dpkg-reconfigure tzdata