1. 现状

云服务器部署之后,每次ssh登录,均显示通过查看

/var/log/secure

发现试探root密码或者其他账户的情况特别多,每分钟数次,secure文件都几十M了。

2. 安全分析

secure文件导出到excel,统计发现,每天被固定几个IP暴力试探的次数超级多,前三分别是:

攻击来源IP攻击次数
49.232.XXX.195 计数12414
49.233.XXX.56 计数12416
49.234.XXX.26 计数5525
服务器攻击前三

这些服务器均来自于腾讯云主机,访问这些IP,均采用的宝塔面板。

因此,做如下判断:

  1. 攻击IP可能并非真实来源,而是经由这些服务器进行跳转攻击。
  2. 采用宝塔面板的服务器主人技术能力不足以掌控服务器,或者没有足够的安全意识,导致服务器成为了肉鸡。
  3. 攻击大多为暴力破解登录密码的方式,避开了简单密码也就提高了安全性。

3. 安全措施

采用的安全措施包括:

  • 配置安全组,封锁80端口以外的无用端口
  • 将ssh的22端口修改
  • 修改登录密码为大小写+数字+符合的复杂密码
  • wordpress等应用的登录密码改为强密码

4. 效果

效果还是立竿见影的,暴力破解的记录没有了。

如果目前的安全措施还不够,就修改为证书登录,不使用密码登录方式。