和挖矿做斗争3

很多朋友对反入侵很感兴趣,那就再多讲一些。

第一步:看cron日志

vi /var/log/cron 搜wget curl之类

这种就是作妖的,要在出站策略中坚决关闭。

第二步:看ssh登录记录,主要查暴力破解密码行为

Ubuntu / Debian系是/var/log/auth.log

grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr

CentOS / AlmaLinux / Rocky系是/var/log/secure

grep "Failed password" /var/log/secure | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr

看看有没有非自己人登录过。

心法1:

卸载wget curl这些!需要东西时在其他机器上下载,自行复制到服务器上。服务器不要这些工具,卸载命令如下:

Debian / Ubuntu(apt 系列)

apt remove -y wget curl

apt autoremove -y

CentOS 7 / AlmaLinux / Rocky Linux(yum/dnf)

CentOS7

yum remove -y wget curl

CentOS8+ / AlmaLinux

dnf remove -y wget curl

心法2:

安装fail2ban,它可以:

自动监控 SSH

连续 5 次密码错误 → 封禁 IP 10 分钟

自动拉黑暴力破解的 IP

相关推荐
brave_zhao26 分钟前
openEuler下安装tar包解压工具
linux·服务器·数据库
工业HMI实战笔记31 分钟前
【拯救HMI】:低碳制造:自动化技术如何助力企业节能降耗
运维·前端·自动化·交互·制造
小宏运维有点菜35 分钟前
JumpServer
linux·运维
是个西兰花1 小时前
Linux:死锁与生产者消费者模型解析
linux·运维·服务器·c++·死锁·生产者消费者模型
RisunJan2 小时前
Linux命令-rsync(远程/本地文件同步 —— 增量传输的备份与镜像神器)
linux·运维·服务器
爆浇牛肉面2 小时前
Linux进阶命令:测开必学的curl和jq
linux
Sinclair2 小时前
安企CMS的安装-常见安装问题排查
运维·后端
Sinclair2 小时前
安企CMS的安装-安装引导与初始化
运维·后端
Sinclair2 小时前
安企CMS的安装-源码编译安装
运维·后端·go
Sinclair2 小时前
安企CMS的安装-同一服务器多站点部署
运维·后端