vern@2010-06-25:/var% ls tags
vps

黑死我唠

之前一直在找一个 ssh-agent 配合 ssh-add 的方法能让我在开机后免输密码建立到 vps 的 ssh 隧道,试了很多方法都不行,最后还是用老老实实的输密码。因为运行了很多次 ssh 命令,担心 vps 上会有一些连接未被断开,所以登上来看看。

ps 一看有 8 个,4双(父子进程两个一双) sshd进程,除了当前我登录上来的进程和之前 我老老实实输了密码建立的 ssh隧道,有两个多余的进程,正当我准备 kill 的时候,突 然发现其中竟然有一个名为 test的用户开的 sshd 进程。我愣了一会儿,想起来几天前测 试 wordpress 时的确建过一个test 用户,但今天没用,更别说 ssh登录了。再想到当时 图方便所设置的密码超级简单,我就怀疑被人给黑了。

第一时间 kill 掉这个 ssh 连接,然后删除 find / -user test 找到的文件以及 test用 户,接着再检查 /var/log/auth.log,发现有很多正在刷新的

sshd[31413]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.28.141.238

打开 /var/log/auth.log 仔细查看,发现 ip 都相同,直接阻止这个地址

echo "sshd:60.28.141.238" > /etc/hosts.deny

再 tail /var/log/auth.log,发现已经不动了,最后一条日志显示

refused connect from 60.28.141.238 (60.28.141.238)

这一技组合拳我个人感觉打的还是相当犀利的,正准备收了神通

popa3d[32387]: pam_unix(popa3d:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=root

那小子又来了,我无语,我只能再

echo "popa3d:60.28.141.238" > /etc/hosts.deny
  1. 网络有风险,维护需谨慎
  2. 只会 hosts.deny 是不行地
  3. 有个日志文件的监视报警工具就好了