[问题求助][RedHat] 我的Redhat服务器是不是被攻击了？ [复制链接]

我查了下/var/log/secure文件，大约有15.00多行，全都.是.
Sep  6 16..:41:43 localhost sshd[14165]: Inv.alid user paul from ::ffff:60.250.95.47             汽车
Sep  6 16:41:45 lo.calhost sshd[14165]: Failed pa.ssword for i.nvalid user paul from ::ffff:60.250.95.47 port 57873 ssh2--- 印刷



红色标示的都不同，其余的信息基本上一致，是不是有人在利用工具猜测我的服务器用户和密码？http://upload.bbs.csuboy.com/Mon_1004/126_7049_c7a6b4605790573.gif[/img]http://upload.bbs.csuboy.com/Mon_1004/126_7049_c7a6b4605790573.gif[/img]http://upload.bbs.csuboy.com/Mon_1004/126_7049_c7a6b4605790573.gif[/img].


最佳答案jerrywjl
http://upload.bbs.csuboy.com/Mon_1004/126_7049_c2515fb4e40125e.gif[/img]从/var/log/secure中的日志看是否有被攻击迹象有几个标准：--- 印刷

第一，尝试登录者来自大量不同的但未知的IP地址，或者.来自已知的IP但有大量不属于系统本身定.制的登录信息；              乙肝
第二，大量的认证失败信息，包括未知用户名和错误.密码（.因为这个时候，黑客可能在通过穷举的方式猜测你的用户和密码）；             电子
第三，尝试登录的时间很有规律，而且很有.频率，比如说都是每3秒或者每5秒.来一次；教育

从/var/log/secure中的日志看是否有被攻击迹象有几个标准：

第一，尝试登录者来自大量不同的但未知的IP地址，或者来自已知的IP但有大量不属于系统本身定制的登录信息；
第二，大量的认证失败信息，包括未知用户名和错误密码（因为这个时候，黑客可能在通过穷举的方式猜测你的用户和密码）；
第三，尝试登录的时间很有规律，而且很有频率，比如说都是每3秒或者每5秒来一次；

没有人回答？

攻击还谈不上吧 只是一个暴力破解
如果通过脚本取访问次数大于一定的ip直接丢到防火墙中去。活着直接禁止明文登录 采用密钥登录

只是暴力破解密码的攻击.
ssh用key认证或者修改端口可以屏蔽一些

QUOTE:原帖由 cedar_1982 于 2009-9-7 11:24 发表
红色标示的都不同，其余的信息基本上一致，是不是有人在利用工具猜测我的服务器用户和密码？

是的，那个人在尝试穷举你的 ssh 密码

好的，谢谢
我通过在host.deny和host.allow限制登录了，等好好学学IPtables后再看看如何处理

只要服务器放外网，被暴力破解没什么不正常的；
只要你的密码足够强壮，且只有你自己知道密码，不用担心的了。