该服务器被黑客入侵还是只是尝试登录？查看日志

有人可以告诉我这是什么意思吗？我尝试了一个命令，例如lastb查看最近的用户登录，并且看到一些来自中国的奇怪登录信息（服务器是EU，我在EU）。我想知道这些是登录尝试还是成功登录？

这些似乎很旧，通常我只将端口22锁定到我的IP，我想我将端口打开了一段时间，最后一次日志是在7月。

root     ssh:notty    222.92.89.xx     Sat Jul  9 12:26 - 12:26  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 12:04 - 12:04  (00:00)
oracle   ssh:notty    222.92.89.xx     Sat Jul  9 11:43 - 11:43  (00:00)
gary     ssh:notty    222.92.89.xx     Sat Jul  9 11:22 - 11:22  (00:00)
root     ssh:notty    222.92.89.xx     Sat Jul  9 11:01 - 11:01  (00:00)
gt05     ssh:notty    222.92.89.xx     Sat Jul  9 10:40 - 10:40  (00:00)
admin    ssh:notty    222.92.89.xx     Sat Jul  9 10:18 - 10:18  (00:00)

lastb仅显示登录失败。使用last看成功登录。

它显示了试图上载或下载内容的人。“ notty”部分表示没有tty（其中tty是电传打字的缩写），这些天意味着没有监控器或gui，而ssh表示端口22，这些端口合起来表示诸如scp或rsync。

因此，不要黑客或登录尝试，而应输入错误或错误的密码。可能是某些内容是通过Google找到的，但需要有人试图猜测的密码。

实际上，从反思来看，上述说法是不正确的。提问者怀疑，它们可能无法通过ssh登录失败。并且（如我第一次错过），它们以固定的21或22分钟间隔运行，这暗示了一定程度的自动化程度，但是lastb从定义上显示了失败，因此需要将这些结果进行比较，last以查看是否成功。

关闭端口22.将sshd配置为侦听其他端口，然后安装并运行denyhosts。

为什么不使用last ?? 请使用“ last”命令，并查找来自中国或美国以外的IP。

还有...男人是你的朋友

Lastb与last相同，除了默认情况下，它显示文件/ var / log / btmp的日志，其中包含所有错误的登录尝试。

是的，这些似乎是登录尝试，因为同一IP使用多个用户名尝试登录。最有可能是蛮力攻击。

要解决此问题：

安装Fail2Ban并使用-1阻止失败的登录尝试，这将使他们的禁令永久生效。

添加一个监狱文件以保护SSH。使用Nano编辑器或vi，vim创建一个新文件

纳米/etc/fail2ban/jail.d/sshd.local

在上面的文件中，添加以下代码行。

[sshd]

启用=真

端口= ssh

“＃”操作= firewallcmd-ipset

日志路径=％（sshd_log）s

maxretry = 5

禁令时间= -1

回复：lastb

“ ssh：notty” / var / log / btmp条目指示通过“ / etc / ssh / sshd_config”中分配的SSH端口号进行的失败登录尝试。

出于安全原因，SSH端口通常将更改为“ 22”以外的数字。因此，在此上下文中，“ ssh”仅表示当前分配的（非22）SSH端口号。

因为应该始终要求成功的SSH证书握手才能进入登录屏幕，所以任何“ ssh：notty”日志条目都可能是由于您自己的失败登录尝试导致的。通常来自错误的用户名。请注意与日志条目关联的IP地址...它可能是您自己的！

“ notty”的意思是“没有tty”。

在设置和使用Linux服务器之前，请学习基本安全性，其工作原理，日志在哪里以及如何解释日志，各种配置文件在哪里以及这些指令的含义以及如何配置IPTables。将登录限制为“静态IP地址”，并限制/限制登录尝试次数：

BASIC SSH配置指令，它限制登录并仅允许来自特定用户和IP地址的登录：

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

编辑后不要忘记“重新启动” SSH服务。

BASIC IPTables规则仅允许来自特定静态IP地址的SSH连接：

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

更改后不要忘记“恢复” IP表。

在LAN或“托管”云环境中，请不要忘记保护“专用”端（网络适配器）。您的敌人通常已经可以访问您的网络并通过后门进入。

如果您处于RackSpace或DigitalOcean等云环境中，并且弄乱了配置并锁定自己，则可以始终通过控制台进行修复。编辑它们之前，请务必先复制配置文件！