Ssh
這個伺服器是被黑了還是只是登錄嘗試?查看日誌
有人能說出這是什麼意思嗎?我嘗試了一個命令,比如
lastb
查看最後一個使用者登錄,我看到一些來自中國的奇怪登錄(伺服器是歐盟,我在歐盟)。我想知道這些可能是登錄嘗試還是成功登錄?這些似乎很舊,通常我只將埠 22 鎖定到我的 IP,我想我已經打開了一段時間的埠,最後一次日誌是在 7 月。
root ssh:notty 222.92.89.xx Sat Jul 9 12:26 - 12:26 (00:00) root ssh:notty 222.92.89.xx Sat Jul 9 12:04 - 12:04 (00:00) oracle ssh:notty 222.92.89.xx Sat Jul 9 11:43 - 11:43 (00:00) gary ssh:notty 222.92.89.xx Sat Jul 9 11:22 - 11:22 (00:00) root ssh:notty 222.92.89.xx Sat Jul 9 11:01 - 11:01 (00:00) gt05 ssh:notty 222.92.89.xx Sat Jul 9 10:40 - 10:40 (00:00) admin ssh:notty 222.92.89.xx Sat Jul 9 10:18 - 10:18 (00:00)
lastb
只顯示登錄失敗。用於last
查看成功登錄。
它顯示人們試圖上傳或下載內容。“notty”部分錶示沒有 tty(其中 tty 是電傳打字機的縮寫),現在表示沒有監視器或 gui,而 ssh 表示埠 22,它們合起來表示類似 scp 或 rsync 之類的東西。
所以不是黑客攻擊或登錄嘗試,而是錯誤或輸入錯誤的密碼。可能是某些內容是通過Google找到的,但需要有人試圖猜測的密碼。
其實,仔細想想,上面的說法是不對的。正如提問者所懷疑的那樣,它們可能是通過 ssh 登錄嘗試失敗;並且(正如我第一次錯過的那樣)它們以 21 或 22 分鐘的定期間隔顯示,這表明一定程度的自動化,但
lastb
根據定義顯示失敗,因此需要將這些結果進行比較last
以查看是否有任何成功。