一、背景

今天打开自己的私有服务器，猛然间发现最近登录失败将近2000次， 登录失败的ip 134.209.236.115 德国法兰克福。一顿吃鲸。。。。

由于我是私有服务器，在进行外网和内网ssh的端口映射时已经提前改为非22端口了，这算是第一道防线。密码设置也相对复杂，所以比较幸运的是，还好还未被攻破，赶紧处理一番

二、常规处理方案
1、修改公网的端口和内网端口映射为不常见的端口(一般ssh端口默认是22)。如果是阿里、腾讯云服务，则可以变更ssh端口为非22端口.同时配置安全策略组。

2、修改root 用户不可远程登录

3、限制ip登录（指定ip可进行远程登录访问服务器）

三、问题处理

1、问题查看

第一步，我之前已经做了，第三部，限制ip登录，对我来讲，由于可能会随时随地使用公司网络、家里的网络、手机公网、或者其他公共区域访问自己的私有服务，故而，限制ip，指定ip 这个方案，对我不太合适。所以接下来主要是针对 第二步进行处理。

在处理前，先查看登录失败的信息，输入命令，发现破解者使用了多种用户进行试登录

lastb  （等同于查看 /var/log/btmp 文件内容）

[root@localhost ~]# lastbroot     ssh:notty    61.238.103.153   Mon Aug  9 03:29 - 03:29  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
debianus ssh:notty    136.144.41.41    Mon Aug  9 02:48 - 02:48  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:44 - 02:44  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:41 - 02:41  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:41 - 02:41  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:41 - 02:41  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:40 - 02:40  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
support  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
support  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
usuario  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
usuario  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
default  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
default  ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:37 - 02:37  (00:00)
root     ssh:notty    97.90.87.195     Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
admin    ssh:notty    136.144.41.41    Mon Aug  9 02:36 - 02:36  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
ethos    ssh:notty    136.144.41.41    Mon Aug  9 02:32 - 02:32  (00:00)
mos      ssh:notty    136.144.41.41    Mon Aug  9 02:29 - 02:29  (00:00)
mos      ssh:notty    136.144.41.41    Mon Aug  9 02:29 - 02:29  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
user     ssh:notty    136.144.41.41    Mon Aug  9 02:26 - 02:26  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
admin    ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
root     ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
admin    ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
hadoop   ssh:notty    119.8.236.111    Mon Aug  9 01:51 - 01:51  (00:00)
minersta ssh:notty    141.98.10.203    Mon Aug  9 00:15 - 00:15  (00:00)
minersta ssh:notty    141.98.10.203    Mon Aug  9 00:15 - 00:15  (00:00)

查看登录记录文件大小：

[root@localhost ~]# ll -h /var/log/btmp
-rw------- 1 root utmp 40M 8月  19 00:36 /var/log/btmp# 统计登录
lastb | awk '{ print $3}' | sort | uniq -c | sort -n

2、添加新用户，禁止root 用户远程登录

添加新用户 useradd  newusername

设置密码  passwd  newusername

编辑 vim /etc/sudoers

在root ALL=(ALL) ALL 下面添加

newusername ALL=(ALL) ALL 或者newusername ALL=(ALL) NOPASSWD:ALL

3、禁止root用户远程登录

vim /etc/ssh/sshd_config

文件中，# PermitRootLogin yes 修改为

PermitRootLogin no

4、重启sshd 服务

低版本centos使用： service sshd restart

高版本centos使用： systemctl restart sshd.service

5、之后远程登录，可以使用 newusername 登录，然后通过

sudo su 切换为root 用户。

以上三种方案：可参看博文：

https://blog.csdn.net/gammey/article/details/80404375

sshd:root@notty: linux 被暴力登录处理相关推荐

1. linux 大量 root@notty 进程由来

   当你在 ps aux 的输出中看到 sshd:root@notty 时会觉得很奇怪吧,notty 算是哪门子的主机,是不是黑客计算机的名字啊.不过不用担心:notty 仅仅是表示 没有 tty 而已. ...

2. linux mint root激活,Linux mint root登录无声音的问题解决方法

   近日小编在Linux mint系统操作时,登录root用户声卡突然没有了声音,相比大家也遇到相同的情况,下面小编就给大家介绍下Linux mint登录root用户时声卡无声音的处理方法,一起来学习下吧 ...

3. linux如何登陆root用户,linux下root用户不能登录怎么办呀

   root用户登录提示incorrect 普通用户可以登录 但不能用SU命令 | 一. lilo 1. 在出现 lilo: 提示时键入 linux single 画面显示 lilo:  linux si ...

4. 如何设置 Linux 上 SSH 登录的 Email 提醒

   如何设置 Linux 上 SSH 登录的 Email 提醒 虚拟私有服务器 (VPS)上启用 SSH 服务使得该服务器暴露到互联网中,为黑客攻击提供了机会,尤其是当 VPS 还允许root 直接访问时 ...

5. linux telnet远程登录的步骤,Linux如何远程登录telnet和ssh

   通常情况下在Linux系统中远程登录我们使用telnet服务,Red Hat Linux自带的有telnet服务器的软件包,我们需要安装telnet-server和xinetd两个软件包: [root ...

6. Linux自动注销登录的帐户

   曾经碰到一个事情,一个好朋友用我的机器登录到服务器,然后忘记退出了,我呢不知情,所以在下班的时候,直接在命令行就poweroff了,于是乎,服务器就被poweroff掉了..今天在网上发现有解决方法, ...

7. root账号无法通过SSH登录阿里云ECS

   root账号无法通过SSH登录阿里云ECS 问题描述 通过SSH远程登录Linux系统的ECS实例时,连接失败,无法正常登录Linux实例. 问题原因 下图为SSH远程登录的关联因素示意图,由此可见, ...

8. 非root用户免密ssh登录到linux---防破解！！

   实现root账户ssh配私钥登录远程主机(CentOS 7.6) 增加新用户 在root账户下 增加用户:useradd admin 设置密码:passwd admin 增加root权限:visudo ...

9. Linux下暴力破解弱密码的工具

   文章目录 1. 概述 2. 实验环境 3. 破解系统密码 3.1 使用 John the Ripper 破解系统密码 3.2 使用 Medusa 破解系统密码 3.3 使用 Hydra 破解系统密码 ...

最新文章

1. phpmyadmin另类拿shell
2. 软件测试培训分享：如何划分bug的严重级别
3. Ubuntu 使用国内apt源
4. php商城的购物车功能,PHP实现添加购物车功能
5. python中与label类似的控件是_Python高级进阶教程021期 pyqt5label控件进阶使用，设置兄弟控件，广告植入...
6. LeetCode 1955. 统计特殊子序列的数目
7. linux下ftp配置文件详解
8. 6.4.1-6.4.2树、森林、二叉树的转换
9. 硬件电路设计之与非门触发器74HC30和74HCT20
10. 差分传输中的tvs二极管阵列
11. AI 去掉图片的背景色
12. 超过ChatGPT3达到ChatGPT4%90性能的小羊驼来了-Vicuna(校招社招必备，chatgpt风口来了赶紧学起来吧)
13. 创品牌强农精品培育消费引领 国稻种芯百团计划行动发布
14. 2023年深圳Java培训机构排名，不看后悔系列！
15. 用深度学习做命名实体识别(五)-模型使用
16. 微信公众号的系统功能定位
17. go-issues#14592 runtime: let idle OS threads exit 内核线程暴增与线程回收问题
18. 群晖+picgo搭建私有图床
19. 风控指标 —— KS
20. TI CC1101学习笔记（一）

热门文章

1. python编程一个正方体的代码_Linux Shell经典面试题之请用shell或Python编写一个正方形(square.sh),接受用户输入的数字...
2. [从头读历史] 第281节 始制文字 世界上的语系及语言
3. 我的程序员成长之路——回顾自己三年的工作
4. Apache Kafka的流式SQL引擎——KSQL
5. java.lang.IncompatibleClassChangeError 常见错误
6. teracopy php,Unraid 升级到 UnRaid 6.0的详细操作步骤(三)
7. ios html 编码转换,IOS中编码转换方法(转）
8. map初步（由ABBC---A2BC）
9. 图片编辑软件有哪些？推荐几款好用的专业工具
10. 利用table制作一个简单的个人简历