blog,blog,blog

SSH 被爆了

更新于   |   0 条评论   |   热度 0°C

起因

前几天我更新网站的证书,就是那个Let’s Encrypt 现在提供免费泛域名 SSL 证书
突然弹出个No space left on device 磁盘突然就满了。肯定有鬼。

定位问题

TIM201811121409022b4a04a8png

1dc34e6png

发现log目录非常大!

TIM2018111214230834e994a5png

其中 auth.log 、btmp 占空间最多

发生了啥?

auth.log btmp 都记录了ssh的登录情况,突然变大,应该是ssh被扫了。

解决办法?

我们暂时将 auth.log、btmp 备份,然后删除。(阿里云删除了以后不知道为什么要重启服务器)
安装fail2ban 禁止登录失败的ip访问。
将ufw reset,禁止所有端口访问,允许指定ip访问特定端口,将ssh端口从默认的22,21 修改为其他端口,将auth.log 中登录失败的ip加入黑名单中。

get help from :
http://blog.chinaunix.net/uid-20329764-id-5016539.html
https://moeclub.org/2017/03/20/70/