服务器被闲人盯上的故事

Linux Apr 4, 2015

每个天朝程序猿成长的路上,都要和 GFW 以及相关政策作斗争,不断地跳进坑,再从坑里爬出来,不断把这个过程机械化,慢慢习以为常。

我承认我也是一只程序猿,遂,迫于备案的压力下,选择了境外的服务器。

故事就从这里讲起吧!

闲的蛋疼

月黑风高的一个夜晚,实在是闲的蛋疼,又因为床上放着一堆东西,懒得铺床睡觉,小心翼翼的打开熟悉的 Terminal,顺手敲入

ssh root@pupboss.com

实在闲的蛋疼,所以无聊,突然想起白天看的论坛里一朋友服务器被黑,我说我也检查下吧,敲入 who 显示

root@xxxxxxx:~# who
root     pts/1        2015-04-04 02:08 (xx.xx.xxx.xxx)

心中窃喜,私以为我的密码还算难猜。

又输入 last 显示

root     pts/0        xx.xx.xxx.xxx   Sat Apr  4 01:56 - 01:57  (00:01)    
root     pts/1        xx.xx.xxx.xxx   Sat Apr  4 01:41 - 01:44  (00:02)    
root     pts/0        xx.xx.xxx.xxx   Sat Apr  4 01:41 - 01:44  (00:03)    
root     pts/1        xx.xx.xxx.xxx   Sat Apr  4 01:25 - 01:34  (00:09)    
reboot   system boot  3.2.0-4-686-pae  Sat Apr  4 01:25 - 11:11  (09:45)    
root     pts/1        xx.xx.xxx.xxx   Sat Apr  4 00:41 - 00:59  (00:17)    
root     pts/0        xx.xx.xxx.xxx   Sat Apr  4 00:01 - down   (01:23)    
root     tty1                          Thu Apr  2 20:27 - down  (1+04:57)   
root     pts/1        xx.xx.xxx.xxx   Thu Apr  2 20:26 - 20:30  (00:03)    
reboot   system boot  3.2.0-4-686-pae  Thu Apr  2 20:26 - 01:25 (1+04:58)   
root     pts/1        xx.xx.xxx.xxx   Thu Apr  2 20:19 - down   (00:05)    
root     pts/0        xx.xx.xxx.xxx   Thu Apr  2 19:53 - down   (00:31)    
root     pts/0        xx.xx.xxx.xxx   Wed Apr  1 19:10 - 19:10  (00:00)    
root     pts/0        xx.xx.xxx.xxx   Wed Apr  1 19:08 - 19:08  (00:00)    

ip 还都挺熟悉,心中又一窃喜,鄙人的服务器安全性那是杠杠的。这时候我的表情是这样的

但是没过多久我就发现不对劲了,请看下章分解。

我勒个擦


于是翻到了 /var/log/auth.loggrep 'sshd' /var/log/auth.log,瞬间惊呆我鸟,这个时候我的表情成这样了

三万多次 ssh 攻击,十五万条日志!!!我勒个擦擦擦擦!!!!

下载到本地一看,log 文件 17MB 啊我去!!!

我打开流量监控 iftop -nP,时不时的就有几个 ip 尝试爆破我的密码,不行劳资不发飙你当我 hello kitty,旧日志下载到本地,新的清空文件,就一个一个收拾乃们!

然后结果是见一个我封一个,那货一直换 ip,后来折腾累了我说我要睡觉,然后一看日志,妈了个蛋他还花样爆破,ip 简直封不完啊有木有。

不行我睡不着了,翻翻资料,思考一下,有以下几种方案:

  • 禁止 root 用户
  • 禁止所有 sshd 请求,自己 ip 加入白名单
  • 禁止账号密码登陆
  • 换端口

禁止 root 吧,挺好,打死他也猜不出来用户名,但是我用着就不爽了啊,动不动 su 的。

把自己加白名单吧,这还真是个好主意,但是我们学校的网不是实名制啊喂,ip 不定时的换啊有木有。

禁止账户密码登陆,这听起来是个好主意,问题是万一劳资自己丢了 ssh 私钥,那找谁说理去

考量许久,还是决定换端口了,几乎无成本。

一觉醒来,再看看 auth 日志,瞬间变干净了有木有!

Tags

Jie Li

🚘 On-road / 📉 US Stock / 💻 Full Stack Developer / 🎓 Grad Student / ®️ ENTJ

Great! You've successfully subscribed.
Great! Next, complete checkout for full access.
Welcome back! You've successfully signed in.
Success! Your account is fully activated, you now have access to all content.