论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-12-23 16:53 |只看该作者 |倒序浏览

tail -100 /var/log/secure

Dec 15 12:00:04 CU sshd[29720]: Invalid user manage from 212.157.202.137
Dec 15 12:00:04 CU sshd[29721]: input_userauth_request: invalid user manage
Dec 15 12:00:04 CU sshd[29721]: Received disconnect from 212.157.202.137: 11: Bye Bye
Dec 23 12:00:02 CU sshd[8388]: Invalid user qwertyuiop from 60.195.250.54
Dec 23 12:00:02 CU sshd[8415]: input_userauth_request: invalid user qwertyuiop
Dec 23 12:00:02 CU sshd[8415]: Received disconnect from 60.195.250.54: 11: Bye Bye
Dec 23 13:00:01 CU sshd[8611]: Invalid user encinias from 60.195.250.54
Dec 23 13:00:01 CU sshd[8610]: Invalid user trever from 60.195.250.54
Dec 23 13:00:01 CU sshd[8622]: input_userauth_request: invalid user trever
Dec 23 13:00:01 CU sshd[8624]: input_userauth_request: invalid user encinias
Dec 23 13:00:01 CU sshd[8640]: Invalid user aricela from 60.195.250.54
Dec 23 13:00:01 CU sshd[8643]: input_userauth_request: invalid user aricela
Dec 23 13:00:01 CU sshd[8636]: Received disconnect from 60.195.250.54: 11: Bye Bye
Dec 23 13:00:02 CU sshd[8622]: Received disconnect from 60.195.250.54: 11: Bye Bye
Dec 23 13:00:02 CU sshd[8624]: Received disconnect from 60.195.250.54: 11: Bye Bye
Dec 23 13:00:02 CU sshd[8643]: Received disconnect from 60.195.250.54: 11: Bye Bye

这能说是黑客行为吗？

文库|博客

tomasea

丰衣足食

论坛徽章:: 0

2楼 [报告]

发表于 2009-12-23 17:30 |只看该作者

回复 #1 htmis 的帖子

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

caoshaocong

稍有积蓄

论坛徽章:: 0

3楼 [报告]

发表于 2009-12-23 18:19 |只看该作者

60.195.250.54 这个ip看起来眼熟是中关村发展大厦3层电信通的吧这个是你们的服务器ip吧

电信通服务不咋地啊

212.157.202.137 这个是法国的有问题

[ 本帖最后由 caoshaocong 于 2009-12-23 18:22 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

polokus

富足长乐

论坛徽章:: 0

4楼 [报告]

发表于 2009-12-23 22:03 |只看该作者

Dec 23 13:00:01 CU sshd[8636]: Received disconnect from 60.195.250.54: 11: Bye Bye
Dec 23 13:00:02 CU sshd[8622]: Received disconnect from 60.195.250.54: 11: Bye Bye
Dec 23 13:00:02 CU sshd[8624]: Received disconnect from 60.195.250.54: 11: Bye Bye
Dec 23 13:00:02 CU sshd[8643]: Received disconnect from 60.195.250.54: 11: Bye Bye

这个是有问题，一般都是屏蔽了事

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

marsaber

小富即安

论坛徽章:: 0

5楼 [报告]

发表于 2009-12-23 22:10 |只看该作者

貌似没什么吧，放在外网，这种事情应该是常事。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

gaokai

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2009-12-23 22:15 |只看该作者

这太正常了，对外的服务器每天都要面对大量类似的尝试ssh。我估计很多来自程序或者木马。
不过还要重视这方面的安全，多年前我一个服务器就被法国hacker破坏了。
有一个denyhosts工具，可以自动封这种ssh攻击。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

marsaber

小富即安

论坛徽章:: 0

7楼 [报告]

发表于 2009-12-23 22:20 |只看该作者

原帖由 gaokai 于 2009-12-23 22:15 发表
有一个denyhosts工具，可以自动封这种ssh攻击。

这个工具的原理是什么？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

gaokai

白手起家

论坛徽章:: 0

8楼 [报告]

发表于 2009-12-24 02:38 |只看该作者

http://denyhosts.sourceforge.net/

我用了一段了，感觉就是个脚本程序，每天定时扫描/var/log/secure，然后统计里面的sshd条目，把符合denyhosts配置的ip记录到/etc/hosts.deny中。

[ 本帖最后由 gaokai 于 2009-12-24 02:39 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

caoshaocong

稍有积蓄

论坛徽章:: 0

9楼 [报告]

发表于 2009-12-25 11:28 |只看该作者

原帖由 gaokai 于 2009-12-24 02:38 发表
 http://denyhosts.sourceforge.net/

我用了一段了，感觉就是个脚本程序，每天定时扫描/var/log/secure，然后统计里面的sshd条目，把符合denyhosts配置的ip记录到/etc/hosts.deny中。

对，楼上正解。
楼主可以试一下。