今天一机房刚刚给一客户安装好操作系统centos6.x 64位系统,默认可能是他们idc机房统一的。结果几分钟服务器远程就登陆卡的要命,带宽耗尽。经过分析发现,这个网络其他服务器遭黑客攻击了,在整个网络上进行ssh爆破。具体体现如下图所示:
我们可以看见,黑客启动了向121.12.110.96 112.90.22.197服务器的10991端口进行大量的连接。
我在网络流量满载,而且极卡的情况下,查看了进程。如下图:
上面那些./*dxd ./*dd结尾的进程全为黑客ddos进程。
希望广大运维人员,及时加固你的linux和ssh,最好把管理端口放在防火墙保护内。
具体加固做如下建议:
1.修改默认ssh端口
2.将ssh端口放在防火墙后,限定特定ip访问
3.关闭远程root,设置PermitRootLogin no,linux默认为yes,允许root登陆很危险,这点Freebsd做的不错。
4.禁止明文密码登陆。PasswordAuthentication no
5.设置ssh为key认证登陆。RSAAuthentication yes
6.限制SSH验证重试次数,MaxAuthTries 1
黑客攻击信息,google搜索:
