阿里云提示暴力破解,非法用户异常登陆,如下:
系统日志特征如下(这里以linux为例),大量的未登陆成功用户和ip,并且日志文件比较大:
查看日志:
tail -f /var/log/auth.log #debian系统
last -f /var/log/btmp #centos系统
搜索某一天日志:
tail |grep "Sep 17" /var/log/auth.log #debian系统
last -f /var/log/btmp |grep "Sep 17" #centos系统
解决方式
1.禁止ping
主机被扫描,多数都是被人恶意使用nmap等扫描工具盲扫或者针对性扫描。可禁用ping,降低主机被扫描器发现的频率。
方式可参考本站文章 禁用ping和允许ping的方法
2.更换主机默认登陆端口
我们以centos linux为例,可采用以下方式更改默认端口或者被发现端口:centos更改系统默认端口
更改后可杜绝大部分非法ip通过改端口登陆主机。
3.关闭主机中非必要端口
很多时候系统很多开放的端口会被扫描到,从而被非法注入,可采用关闭服务端口的方式降低风险。当然,具体还是要根据情况来设定。说明:该步骤可根据情况选择是否操作,主要为了防止其他服务的端口被非法注入,影响系统安全。