服务器被闲人盯上的故事
每个天朝程序猿成长的路上,都要和 GFW 以及相关政策作斗争,不断地跳进坑,再从坑里爬出来,不断把这个过程机械化,慢慢习以为常。
我承认我也是一只程序猿,遂,迫于备案的压力下,选择了境外的服务器。
故事就从这里讲起吧!
闲的蛋疼
月黑风高的一个夜晚,实在是闲的蛋疼,又因为床上放着一堆东西,懒得铺床睡觉,小心翼翼的打开熟悉的 Terminal,顺手敲入
ssh root@pupboss.com
实在闲的蛋疼,所以无聊,突然想起白天看的论坛里一朋友服务器被黑,我说我也检查下吧,敲入 who
显示
root@xxxxxxx:~# who
root pts/1 2015-04-04 02:08 (xx.xx.xxx.xxx)
心中窃喜,私以为我的密码还算难猜。
又输入 last
显示
root pts/0 xx.xx.xxx.xxx Sat Apr 4 01:56 - 01:57 (00:01)
root pts/1 xx.xx.xxx.xxx Sat Apr 4 01:41 - 01:44 (00:02)
root pts/0 xx.xx.xxx.xxx Sat Apr 4 01:41 - 01:44 (00:03)
root pts/1 xx.xx.xxx.xxx Sat Apr 4 01:25 - 01:34 (00:09)
reboot system boot 3.2.0-4-686-pae Sat Apr 4 01:25 - 11:11 (09:45)
root pts/1 xx.xx.xxx.xxx Sat Apr 4 00:41 - 00:59 (00:17)
root pts/0 xx.xx.xxx.xxx Sat Apr 4 00:01 - down (01:23)
root tty1 Thu Apr 2 20:27 - down (1+04:57)
root pts/1 xx.xx.xxx.xxx Thu Apr 2 20:26 - 20:30 (00:03)
reboot system boot 3.2.0-4-686-pae Thu Apr 2 20:26 - 01:25 (1+04:58)
root pts/1 xx.xx.xxx.xxx Thu Apr 2 20:19 - down (00:05)
root pts/0 xx.xx.xxx.xxx Thu Apr 2 19:53 - down (00:31)
root pts/0 xx.xx.xxx.xxx Wed Apr 1 19:10 - 19:10 (00:00)
root pts/0 xx.xx.xxx.xxx Wed Apr 1 19:08 - 19:08 (00:00)
ip 还都挺熟悉,心中又一窃喜,鄙人的服务器安全性那是杠杠的。这时候我的表情是这样的

但是没过多久我就发现不对劲了,请看下章分解。
我勒个擦
于是翻到了 /var/log/auth.log
,grep 'sshd' /var/log/auth.log
,瞬间惊呆我鸟,这个时候我的表情成这样了

三万多次 ssh 攻击,十五万条日志!!!我勒个擦擦擦擦!!!!
下载到本地一看,log 文件 17MB 啊我去!!!
我打开流量监控 iftop -nP
,时不时的就有几个 ip 尝试爆破我的密码,不行劳资不发飙你当我 hello kitty,旧日志下载到本地,新的清空文件,就一个一个收拾乃们!
然后结果是见一个我封一个,那货一直换 ip,后来折腾累了我说我要睡觉,然后一看日志,妈了个蛋他还花样爆破,ip 简直封不完啊有木有。
不行我睡不着了,翻翻资料,思考一下,有以下几种方案:
- 禁止 root 用户
- 禁止所有 sshd 请求,自己 ip 加入白名单
- 禁止账号密码登陆
- 换端口
禁止 root 吧,挺好,打死他也猜不出来用户名,但是我用着就不爽了啊,动不动 su 的。
把自己加白名单吧,这还真是个好主意,但是我们学校的网不是实名制啊喂,ip 不定时的换啊有木有。
禁止账户密码登陆,这听起来是个好主意,问题是万一劳资自己丢了 ssh 私钥,那找谁说理去

考量许久,还是决定换端口了,几乎无成本。
一觉醒来,再看看 auth 日志,瞬间变干净了有木有!