之前一直在找一个 ssh-agent 配合 ssh-add 的方法能让我在开机后免输密码建立到 vps
的 ssh 隧道,试了很多方法都不行,最后还是用老老实实的输密码。因为运行了很多次
ssh 命令,担心 vps 上会有一些连接未被断开,所以登上来看看。
ps 一看有 8 个,4双(父子进程两个一双) sshd进程,除了当前我登录上来的进程和之前
我老老实实输了密码建立的 ssh隧道,有两个多余的进程,正当我准备 kill 的时候,突
然发现其中竟然有一个名为 test的用户开的 sshd 进程。我愣了一会儿,想起来几天前测
试 wordpress 时的确建过一个test 用户,但今天没用,更别说 ssh登录了。再想到当时
图方便所设置的密码超级简单,我就怀疑被人给黑了。
第一时间 kill 掉这个 ssh 连接,然后删除 find / -user test 找到的文件以及 test用
户,接着再检查 /var/log/auth.log,发现有很多正在刷新的
sshd[31413]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.28.141.238
打开 /var/log/auth.log 仔细查看,发现 ip 都相同,直接阻止这个地址
echo "sshd:60.28.141.238" > /etc/hosts.deny
再 tail /var/log/auth.log,发现已经不动了,最后一条日志显示
refused connect from 60.28.141.238 (60.28.141.238)
这一技组合拳我个人感觉打的还是相当犀利的,正准备收了神通
popa3d[32387]: pam_unix(popa3d:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=root
那小子又来了,我无语,我只能再
echo "popa3d:60.28.141.238" > /etc/hosts.deny
- 网络有风险,维护需谨慎
- 只会 hosts.deny 是不行地
- 有个日志文件的监视报警工具就好了