V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
牛客网
doggg
V2EX  ›  全球工单系统

云服务器出现大量 sshd 进程

  •  
  •   doggg · 2017-07-18 19:50:23 +08:00 · 7410 次点击
    这是一个创建于 1198 天前的主题,其中的信息可能已经有所发展或是发生改变。

    新人不太明白这个节点是否正确。望前辈海涵。

    28 条回复    2017-07-29 11:08:33 +08:00
    doggg
        1
    doggg   2017-07-18 19:52:59 +08:00
    使用 Bitvise SSH Client 会出现:远程主机强迫关闭了一个现有连接。
    ovear
        2
    ovear   2017-07-18 19:53:56 +08:00
    被爆破了吧
    netstat 看看
    doggg
        3
    doggg   2017-07-18 19:59:13 +08:00
    doggg
        4
    doggg   2017-07-18 19:59:37 +08:00
    @ovear 应该是有人闲得蛋疼是吗?
    doggg
        5
    doggg   2017-07-18 20:04:09 +08:00
    ip 地址在浏览器访问,124.207.115.68 。这就尴尬了。我什么事都没做过,怎么被这家搞上了?
    csx163
        6
    csx163   2017-07-18 20:39:17 +08:00   ❤️ 1
    这种情况 fail2ban 应该可以解决
    doggg
        7
    doggg   2017-07-18 21:29:56 +08:00
    @csx163 满分!谢谢你了。
    julyclyde
        8
    julyclyde   2017-07-18 21:39:29 +08:00
    看起来是已经进去了,谈不上 fail 的问题,更谈不上 fail2ban
    doggg
        9
    doggg   2017-07-18 21:58:57 +08:00
    @julyclyde 密码比较复杂,会很容易进去吗? 现在 fail2ban 已经自动禁止那个 ip 了。
    LINAICAI
        10
    LINAICAI   2017-07-18 22:02:34 +08:00
    禁止远程 root 登录啊
    cxbig
        11
    cxbig   2017-07-18 22:06:10 +08:00   ❤️ 2
    老生常谈的安全问题,SSH 只允许 key 登录是最基本的保障。
    cloudbeyond
        12
    cloudbeyond   2017-07-18 22:13:33 +08:00
    如 11 楼 @cxbig 所说.

    用 key 登录
    dasenlin
        13
    dasenlin   2017-07-18 22:13:57 +08:00
    更改 22 端口为其他端口 比如 1999
    doggg
        14
    doggg   2017-07-18 22:20:20 +08:00
    @cxbig key 与密码登录也能防止出现大量 sshd 进程?新手不太明白原理。
    trdcaz
        15
    trdcaz   2017-07-18 23:22:44 +08:00 via iPhone
    限制密钥登陆,基本可以保证 sshd 不会被恶意登陆
    besto
        16
    besto   2017-07-18 23:32:02 +08:00   ❤️ 3
    老生常谈的服务器安全问题,前 2 项是一定要做的,后面选做。
    1. 只允许非 root,非 sudo 用户登陆。
    2. 换端口。
    3. Key 登陆,密码不可登陆。
    4. CHROOT 监狱。
    5. 阿里云这种,平时关闭 ssh/或是封掉 SS 端口,要用的时候打开。
    6. fail2ban

    PS,你基本可以重装系统了。。。
    lgpqdwjh
        17
    lgpqdwjh   2017-07-19 09:21:42 +08:00
    矿机了
    wizardoz
        18
    wizardoz   2017-07-19 09:22:29 +08:00
    是不是用了假的 bitvise ?
    doggg
        19
    doggg   2017-07-19 09:50:25 +08:00
    使用 fail2ban,重启了一下,服务器已经没有额外的 sshd 进程了。netstat 也正常。
    firefox12
        20
    firefox12   2017-07-19 11:30:07 +08:00 via iPhone
    非 sudo 用户登陆 那么怎么在 ssh 以后使用 sudo 启动一些服务?
    julyclyde
        21
    julyclyde   2017-07-19 13:28:18 +08:00
    带 priv 那个就是登录进程
    你可以用 last 命令查看
    或者 /var/log/secure 日志文件

    @doggg
    cnfzv
        22
    cnfzv   2017-07-19 16:15:15 +08:00
    @besto 只允许非 root,非 sudo 用户登陆的话怎么在 ssh 后处理 root 进程运行的服务器?求解
    besto
        23
    besto   2017-07-19 17:05:05 +08:00
    @cnfzv 有 su 命令。
    cnfzv
        24
    cnfzv   2017-07-19 17:32:07 +08:00
    @besto 如果可以普通用户登陆,这样一来还是可以破解 su 密码的吧? sudo 用户+key 是不是会好一些
    besto
        25
    besto   2017-07-20 10:30:46 +08:00   ❤️ 1
    @cnfzv 所以 1,2 是必做,后面选做,当然都做了最安全。拿普通用户登录就想破 su 密码也是心大,就是把 shadow 那个文件给你,密码强度足够的情况下,也要算很久才有结果。
    c4fun
        26
    c4fun   2017-07-20 16:03:08 +08:00
    @besto 我有一个问题哈,ssh 的端口就算换了之后,用 nmap 应该能够扫出来的。这一步如果不做的话,对系统安全性的影响不会太大吧。
    besto
        27
    besto   2017-07-20 17:31:23 +08:00
    @c4fun 恰好相反,这一步很重要。
    不信的话,开两台服务器,一台保留 22,一台随便换个口。一个月之后去读尝试登录的 log 看看。

    我们讨论的是针对大量常规攻击的 case,实际上很多并不是刻意去攻击你的服务器,而就是一些自己脚本抓着服务器,扫一扫,开始尝试各种默认端口+弱密码,比如 22/1080/3128 啥的。

    真的有目的性的开始上到 nmap 级别,那就要更近一步了,比如 fail2ban,还有拒绝 ping。
    c4fun
        28
    c4fun   2017-07-29 11:08:33 +08:00
    @besto 好的,也就是说改变 22 端口到其他端口可以避免大量的 22 常规攻击嘛,也可以使自己的 acess.log 清净很多。那像数据库的 3306 等端口也需要变更吗?
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   4471 人在线   最高记录 5168   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 17ms · UTC 07:48 · PVG 15:48 · LAX 00:48 · JFK 03:48
    ♥ Do have faith in what you're doing.