每天进行数百次闯入尝试是否正常?

Modified on: Wed, 13 Nov 2019 03:40:02 +0800

我刚检查了服务器的/var/log/auth.log,发现我每天收到超过500封失败的密码/闯入尝试通知!我的网站很小,其网址不明显。这是正常的吗?我应该采取任何措施吗?

作者:nickgrim,Kyle

最佳答案

在今天的互联网上,这很可悲。有大量僵尸网络试图登录他们在整个IP网络中找到的每个服务器。通常,他们对众所周知的帐户(如root或某些应用程序帐户)使用简单的字典攻击。

攻击目标不是通过Google或DNS条目找到的,但攻击者只是尝试某个子网中的每个IP地址(例如已知的根服务器托管公司)。因此,您的URL(因此DNS条目)相当模糊并不重要。

这就是为什么它如此重要:

  • 禁止在SSH中进行root-login(howto
  • 在任何地方使用强密码(也在您的网络应用程序中)
  • 对于SSH,如果可能,请使用公钥验证并完全禁用password-auth(howto

此外,可以安装的fail2ban,以扫描authlog,如果它发现了一定的失败从IP登录尝试,它将继续将该IP添加到/etc/hosts.deny或iptables / netfilter,以便将攻击者锁定几分钟。

除了SSH攻击之外,扫描您的网络服务器以查找易受攻击的网络应用程序(一些博客应用程序,CMS,phpmyadmin等)也变得越来越普遍。因此,请确保保持最新和安全配置!


相关问答

添加新评论