服务器的SSH服务由于远程配置的原因,需要暴露在公网。虽然使用了一系列安全措施比如关闭root登录,普通权限与超级管理员权限分离,更改端口以及使用第三方工具比如强力爆破,可是看sshd的log每天依旧有数不清的登陆尝试,Fail2Ban也在孜孜不倦地一直将这些IP拉黑。昨天看到Fail2Ban可以开通邮件提醒功能,于是配置了一下,没想到邮件雪花片就飞了过来,基本上每分钟都有被ban掉的IP,一晚上竟然收到了一千多封邮件,并且早晨早早的,由于手机勿扰模式天亮就自动关闭了,邮件提示音把我吵死了。

另外看邮件日志,IP来源于世界各地,应该就是被黑客攻破的肉鸡,我之前维护的一台DigitalOcean也被黑过,DO给我发邮件说我abuse应该是我在那台服务器的Wordpress没有及时升级被利用漏洞了。从日志还有一个很严峻的发现是来之中国大陆或者中国服务商的攻击特别特别多,IP将近一半来自中国大陆或者阿里云腾讯云等在大陆外的服务器。这反映了国内互联网服务运营人员对于系统安全的意识是多么的薄弱,有这么多服务器带病运行,不经被黑客当多肉鸡攻击其他的设备,同时运行在这些服务器上的服务也被黑客一览无余,那里边的用户数据的安全性更是无从谈起。

随便摘几个日志过来,首先是中国移动的端口,感觉黑客控制可一个网段,来自这个地址以及相似地址的特别多,不排除运营商的机房已经被黑客控制的可能:

中国联通:

 

然后找个中国电信的例子:

 

再贴一个腾讯的例子:

后来我将Fail2Ban配置升级了一下,使之更加严格。隔离天数按照“天”来计算,升级后收到的邮件总算少了一些。可由于我昨天测试邮件能不能发送成功时候,我用自己电脑输错密码5次来做实验,当时被ban了十分钟,还能接受。今天更改配置后,发现我昨天被ban的记录,由于还没到我心的设置ban的天数,我自己电脑无法连接我的服务器了。。。感觉这个插件是通过密码错误时间来计算ban期限有没有到。真是被我自己蠢到了。在此也给小伙伴们警示一下,Fail2Ban设置错了,可能自己也无法连接服务器,永久失联也不是说没可能。

Reference:

https://wiki.archlinux.org/index.php/Fail2ban

https://edywerder.ch/fail2ban-email-notification/

https://hostadvice.com/how-to/how-to-setup-fail2ban-on-your-ubuntu-18-04-vps-server-or-dedicated-server/

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.