日志显示来自未知IP的大量用户尝试。

Question

我无法访问我在AWS上主持的实例。凯普林停下来工作。我分离了一个卷并将它附加到一个新实例中，我在日志中找到了一个很长的列表

Nov  6 20:15:32 domU-12-31-39-01-7E-8A sshd[4925]: Invalid user cyrus from 210.193.52.113
Nov  6 20:15:32 domU-12-31-39-01-7E-8A sshd[4925]: input_userauth_request: invalid user cyrus [preauth]
Nov  6 20:15:33 domU-12-31-39-01-7E-8A sshd[4925]: Received disconnect from 210.193.52.113: 11: Bye Bye [preauth]

其中，"cyrus“被更改了数百个，如果不是数以千计的共同名称和项目。这可能是什么？暴力攻击还是其他恶意行为？我追踪知识产权到新加坡，我和新加坡没有任何联系。

梅认为这是一次DoS攻击，因为我失去了访问权限，服务器似乎停止工作。我不想精通这个问题，但是这个问题的想法和解决方案是受欢迎的。

Answer 1

由于您在AWS上，防止internet在您的框上访问sshd的简单方法是在实例secgroup中拒绝tcp/22，并将实际需要连接的少数/32's添加到secgroup中。

EC2-撤销赛克群 -p tcp -P 22 -s 0.0.0.0/0 EC2-授权赛克群 -P tcp -p 22 -s 你的ip地址/32

(你也可以通过aws gui做这件事，但这很痛苦)

作为第二层安全性，您可以对主机上的iptables执行同样的操作，如线程中提到的那样。

这样做的话，tcp/22就不会向互联网开放，你的日志也不会泛滥。