Table of Content

每个天朝程序猿成长的路上,都要和 GFW 以及相关政策作斗争,不断地跳进坑,再从坑里爬出来,不断把这个过程机械化,慢慢习以为常。

我承认我也是一只程序猿,遂,迫于备案的压力下,选择了境外的服务器。

故事就从这里讲起吧!

闲的蛋疼

月黑风高的一个夜晚,实在是闲的蛋疼,又因为床上放着一堆东西,懒得铺床睡觉,小心翼翼的打开熟悉的 Terminal,顺手敲入

ssh root@pupboss.com

实在闲的蛋疼,所以无聊,突然想起白天看的论坛里一朋友服务器被黑,我说我也检查下吧,敲入 who 显示

root@xxxxxxx:~# who
root     pts/1        2015-04-04 02:08 (xx.xx.xxx.xxx)

心中窃喜,私以为我的密码还算难猜。

又输入 last 显示

root     pts/0        xx.xx.xxx.xxx   Sat Apr  4 01:56 - 01:57  (00:01)  
root     pts/1        xx.xx.xxx.xxx   Sat Apr  4 01:41 - 01:44  (00:02)  
root     pts/0        xx.xx.xxx.xxx   Sat Apr  4 01:41 - 01:44  (00:03)  
root     pts/1        xx.xx.xxx.xxx   Sat Apr  4 01:25 - 01:34  (00:09)  
reboot   system boot  3.2.0-4-686-pae  Sat Apr  4 01:25 - 11:11  (09:45)  
root     pts/1        xx.xx.xxx.xxx   Sat Apr  4 00:41 - 00:59  (00:17)  
root     pts/0        xx.xx.xxx.xxx   Sat Apr  4 00:01 - down   (01:23)  
root     tty1                          Thu Apr  2 20:27 - down  (1+04:57)  
root     pts/1        xx.xx.xxx.xxx   Thu Apr  2 20:26 - 20:30  (00:03)  
reboot   system boot  3.2.0-4-686-pae  Thu Apr  2 20:26 - 01:25 (1+04:58)  
root     pts/1        xx.xx.xxx.xxx   Thu Apr  2 20:19 - down   (00:05)  
root     pts/0        xx.xx.xxx.xxx   Thu Apr  2 19:53 - down   (00:31)  
root     pts/0        xx.xx.xxx.xxx   Wed Apr  1 19:10 - 19:10  (00:00)  
root     pts/0        xx.xx.xxx.xxx   Wed Apr  1 19:08 - 19:08  (00:00)  

ip 还都挺熟悉,心中又一窃喜,鄙人的服务器安全性那是杠杠的。这时候我的表情是这样的

但是没过多久我就发现不对劲了,请看下章分解。

我勒个擦


于是翻到了 /var/log/auth.loggrep 'sshd' /var/log/auth.log,瞬间惊呆我鸟,这个时候我的表情成这样了

三万多次 ssh 攻击,十五万条日志!!!我勒个擦擦擦擦!!!!

下载到本地一看,log 文件 17MB 啊我去!!!

我打开流量监控 iftop -nP,时不时的就有几个 ip 尝试爆破我的密码,不行劳资不发飙你当我 hello kitty,旧日志下载到本地,新的清空文件,就一个一个收拾乃们!

然后结果是见一个我封一个,那货一直换 ip,后来折腾累了我说我要睡觉,然后一看日志,妈了个蛋他还花样爆破,ip 简直封不完啊有木有。

不行我睡不着了,翻翻资料,思考一下,有以下几种方案:

  • 禁止 root 用户
  • 禁止所有 sshd 请求,自己 ip 加入白名单
  • 禁止账号密码登陆
  • 换端口

禁止 root 吧,挺好,打死他也猜不出来用户名,但是我用着就不爽了啊,动不动 su 的。

把自己加白名单吧,这还真是个好主意,但是我们学校的网不是实名制啊喂,ip 不定时的换啊有木有。

禁止账户密码登陆,这听起来是个好主意,问题是万一劳资自己丢了 ssh 私钥,那找谁说理去

考量许久,还是决定换端口了,几乎无成本。

一觉醒来,再看看 auth 日志,瞬间变干净了有木有!