服务器主机被扫描 异常登陆的处理方法

网站使用过程中主机经常被扫描,云主机面板或者系统登陆日志中经常报异常,可采取下面方式优化。

阿里云提示暴力破解,非法用户异常登陆,如下:

系统日志特征如下(这里以linux为例),大量的未登陆成功用户和ip,并且日志文件比较大:

查看日志:

tail -f /var/log/auth.log   #debian系统
last -f /var/log/btmp       #centos系统

搜索某一天日志:

tail |grep  "Sep 17" /var/log/auth.log   #debian系统
last -f /var/log/btmp |grep "Sep 17"    #centos系统

解决方式

 

1.禁止ping

主机被扫描,多数都是被人恶意使用nmap等扫描工具盲扫或者针对性扫描。可禁用ping,降低主机被扫描器发现的频率。

方式可参考本站文章 禁用ping和允许ping的方法

2.更换主机默认登陆端口

我们以centos linux为例,可采用以下方式更改默认端口或者被发现端口:

centos更改系统默认端口

更改后可杜绝大部分非法ip通过改端口登陆主机。

3.关闭主机中非必要端口

很多时候系统很多开放的端口会被扫描到,从而被非法注入,可采用关闭服务端口的方式降低风险。当然,具体还是要根据情况来设定。

说明:该步骤可根据情况选择是否操作,主要为了防止其他服务的端口被非法注入,影响系统安全。

发表评论

您的邮箱地址不会被公开。