Ssh

這個伺服器是被黑了還是只是登錄嘗試?查看日誌

  • April 19, 2021

有人能說出這是什麼意思嗎?我嘗試了一個命令,比如lastb查看最後一個使用者登錄,我看到一些來自中國的奇怪登錄(伺服器是歐盟,我在歐盟)。我想知道這些可能是登錄嘗試還是成功登錄?

這些似乎很舊,通常我只將埠 22 鎖定到我的 IP,我想我已經打開了一段時間的埠,最後一次日誌是在 7 月。

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)

lastb只顯示登錄失敗。用於last查看成功登錄。

它顯示人們試圖上傳或下載內容。“notty”部分錶示沒有 tty(其中 tty 是電傳打字機的縮寫),現在表示沒有監視器或 gui,而 ssh 表示埠 22,它們合起來表示類似 scp 或 rsync 之類的東西。

所以不是黑客攻擊或登錄嘗試,而是錯誤或輸入錯誤的密碼。可能是某些內容是通過Google找到的,但需要有人試圖猜測的密碼。

其實,仔細想想,上面的說法是不對的。正如提問者所懷疑的那樣,它們可能是通過 ssh 登錄嘗試失敗;並且(正如我第一次錯過的那樣)它們以 21 或 22 分鐘的定期間隔顯示,這表明一定程度的自動化,但lastb根據定義顯示失敗,因此需要將這些結果進行比較last以查看是否有任何成功。

引用自:https://serverfault.com/questions/399514