很多朋友对反入侵很感兴趣,那就再多讲一些。
第一步:看cron日志
vi /var/log/cron 搜wget curl之类
这种就是作妖的,要在出站策略中坚决关闭。
第二步:看ssh登录记录,主要查暴力破解密码行为
Ubuntu / Debian系是/var/log/auth.log
grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr
CentOS / AlmaLinux / Rocky系是/var/log/secure
grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr
看看有没有非自己人登录过。
心法1:
卸载wget curl这些!需要东西时在其他机器上下载,自行复制到服务器上。服务器不要这些工具,卸载命令如下:
Debian / Ubuntu(apt 系列)
apt remove -y wget curl
apt autoremove -y
CentOS 7 / AlmaLinux / Rocky Linux(yum/dnf)
CentOS7
yum remove -y wget curl
CentOS8+ / AlmaLinux
dnf remove -y wget curl
心法2:
安装fail2ban,它可以:
自动监控 SSH
连续 5 次密码错误 → 封禁 IP 10 分钟
自动拉黑暴力破解的 IP