不看不知道，一看吓一跳啊，DO 5 刀的 server 从创建开始就一直受到 SSH 攻击

平时也不干啥，主要搭个梯子，挂个博客，偶尔会在上面测试一下自己写的小网站，所以平时也没怎么管理维护。今天心血来潮去查看了一下日志 journalctl ，尼玛，全部被 SSH 攻击塞满了，从今年5月份到现在有 2249190 行日志了，几乎全部都是 pam_tally(sshd:auth): Tally overflowed for user root, authentication failure 之类的日志，有同一个 IP 尝试各种端口和密码的，还有尝试以非 root 用户登录的

各位V友难道都是只通过 ssh-key 访问 VPS 吗？这样有时需要在其它电脑上登录一下 VPS 就很不方便啊

cbsw

2014-11-02 19:53:44 +08:00

@ray1980 用 systemd 的话（现在主流系统好像都切换到 systemd 了），直接用 journalctl 就可以查看

gihnius

2014-11-02 19:54:17 +08:00

很正常！应该是通过脚本自动扫描 22 端口的，因为你换个端口就很少了。

lsylsy2

2014-11-02 20:02:56 +08:00

@nealfeng 我没说IDC自己干……有人租了服务器干这事，严格的IDC是能发现并且封禁的

bobopu

2014-11-02 20:06:14 +08:00

改高位端口，设规则每ip扫描端口超过2个即封2小时，设规则密码错误2次即封ip8小时。

xenme

2014-11-02 20:12:28 +08:00

我家里的路由，忘记设置防火墙规则，然后允许外部SSH/WEB登录，几分钟不到就有一大波的各种弱口令攻击。。
--------------
感觉这些人速度太快了。都有点像是路由器自动通知的这帮人，嘿，可以来扫端口和攻击了。

zinev

2014-11-02 20:15:21 +08:00

看到这个帖子，ssh上去看了下，azure上一个重装系统的centos不到半个月的时间已经有了16MB的SSH日志，还好前几天改了端口

wzxjohn

2014-11-02 20:16:53 +08:00

@halczy 你随便买哪一家的都一样。。。我到目前为止买了不少vps了从来都是系统装完就开始被扫。

Havee

2014-11-02 20:22:24 +08:00

有什么好吓的，ssh 的话禁止密码登陆吧。

各种暴力破解一直在进行中，joomla 后台一秒一次猜解，一秒换次ip，6小时一个轮回。懒得看了，写个计划任务，定期清空 joomla 日志

stillwaiting

2014-11-02 22:33:13 +08:00

其实暴露在外网的机器都一样的，我公司的外网服务器，每天都是不断的受到攻击，国内肉鸡实在太多了，我直接指定只允许一个固定IP登录；vps的话建议改端口，或者用fail2ban

xierch

2014-11-02 22:53:15 +08:00

所以说.. root 账户弱密码就是分分钟悲剧..
随手装个 fail2ban 吧.. 省得一大堆日志..

anjunecha

2014-11-02 22:53:22 +08:00

放在公网的服务器不被扫才是不正常的…fail2ban和iptables 配合使用可以保证基本无忧

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/143428

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.