我想我的服务器被攻击了，我能做些什么来阻止它？

Question

可能重复: 试图登录到我的服务器的无效用户

我有一个小型ssh服务器，主要用于文件共享。其他几个人和我使用它，只有3个用户。最近，我检查了auth.log文件，发现有大量来自不同用户名的主机的登录。我想我被类似的东西黑了，我不知道该怎么做。我将日志文件的一部分放在pastebin：http://pastebin.com/Hgazhabu上

为了安全起见，我从文件中拿出了一些信息，但是你需要看到的一切都在那里。这些用户名中没有一个能引起共鸣，ip也不起作用。

Answer 1

我不认为您的服务器受到了非常有效的攻击，如果这是通常的“猜测根帐户密码”低能攻击。如果您完全安全地配置了sshd (使用PermitRootLogin no)，那么该攻击就无法工作。

如果您对C语言编码很满意，那么您可以通过遵循sshd来创建这些指示。上一次我这样做的时候，我设置了我的SSH服务器，将错误的密码延迟7秒。我并没有完全按照指示做，但它是相当接近。不管怎么说，在一个错误的密码上，sshd会睡上几秒钟，这确实会使密码猜测者在按顺序发送请求和单线程发送请求的过程中陷入困境。

如果我们都这样设置我们的SSH服务器，那么SSH密码的猜测就会像恐龙一样。

Answer 2

欢迎来到互联网。有数以万计的主机在搜索SSH服务器，并试图每天强行使用SSH服务器。你也没什么不同。你可以做几件事来保护自己。

首先，如果可能的话，关闭基于密码的登录。仅使用公钥身份验证将完全停止密码强制.如果您必须使用基于密码的身份验证，那么请确保您没有默认帐户/密码，禁用根登录，并使用类似passwdqc或帕姆_裂纹库之类的方法执行密码复杂性。

第二，使用fail2ban来监视错误的登录并暂时禁止违法者。临时禁令比永久禁令好，因为你可能会意外地把自己锁在门外，永久禁令会扰乱你的防火墙规则。

Answer 3

看起来确实很像。在数量、时间和所有用户名都是通用默认值的情况下。如果它们都来自同一个ip，就像在pastebin上的日志中显示的那样，您可以直接阻止该ip。