问题描述:今天收到腾讯云通知短信,服务器有多条异常登录,登录地址皆为国外ip
处理方式:
一、登录云服务器,找到防火墙先关闭tcp 22端口并修改服务器账号密码
二、查找恶意登录的前十个IP:
sudo lastb | awk '{ print $3}' | awk '{++S[$NF]} END {for(a in S) print a, S[a]}' | sort -rk2 |head
三、直接封掉ip
iptables -I INPUT -s 5.75.172.121 -j DROP,如果不担心被误封,可以直接封掉ip段
iptables -I INPUT -s 5.0.0.0/8 -j DROP四、开启防火墙
sudo systemctl start firewalld五、修改tcp登录端口号,然后重启ssh服务
sudo vim /etc/ssh/sshd_config
sudo systemctl restart sshd.service六、开放新端口
sudo firewall-cmd --add-port=xxx/tcp --permanent六、在腾讯云防火墙里面新增自定义规则,加上刚才修改的端口ip 结论:如果服务器被暴力破解登录,可以尝试上述方式处理,当然,有条件的可以购买服务商的防护服务。