SSH加固防止暴力破解

继上次被wordpress的恶意暴力破解密码记录惊呆后,今天 查看了下VPS上的ssh登录记录,再次惊呆了

SSH 尝试恶意登录记录

通过以下命令可以查看/统计自己的ssh登录记录

grep -o ‘[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}‘ /var/log/secure.1 | sort | uniq -c

居然有尝试近6w次的; 如果你也发现类似的记录,建议执行以下步骤排查:

  1. 查看iptables,是否被添加或删除过记录,如果有,调整它
  2. 检查进程,看是否有可疑进程,如果有,杀掉并除去它
  3. 更改ssh密码为强密码
  4. 安装配置denyhosts
    建议创建一个新用户专门来登录ssh,配置为其它所有用户都不能登录ssh,包括root
    denyhosts能自动拒绝超过尝试密码次数的hosts连接,有效防止ssh密码暴力破解,具体配置请自行google,文章一大把
  5. 如果你有mysql或者apache等服务,建议认真排查,尤其是web root目录的木马扫描和mysql 用户检查更改密码等,必不可少