Этот сервер взламывается, или просто войдите в попытки? Посмотрите журнал

Закройте порт 22. Настройте sshd для прослушивания другого порта, а также установите и запустите denyhosts.

It shows people trying to upload or download content. The "notty" part means no tty (where tty is short for teletype) which these days means no monitor or gui, and the ssh indicates port 22, which taken together mean something like scp or rsync.

So not hacking or login attempts, but wrong or mistyped passwords. It might be some content was located via google, but required a password which someone tried to guess.

Actually, on reflection, the above is not right. They could be failed login attempts via ssh, as the questioner suspected; and (as I missed first time) they are at regular 21 or 22 minute intervals which suggests a degree of automation, but lastb shows failures by definition, so these results would need to be compared against last to see if any were successful.

Почему не использовать последний ?? Пожалуйста, используйте последнюю команду и ищите IP-адреса из Китая или за пределами США.

Также ... мужчина - ваш друг man lasttb

Lastb - то же самое, что и last, за исключением того, что по умолчанию он показывает журнал файла / var / log / btmp, который содержит все неудачные попытки входа в систему.

RE: lastb

Записи "ssh: notty" / var / log / btmp указывают на неудачные попытки входа в систему с номера порта SSH, назначенного в "/etc/ssh/sshd_config" .

По соображениям безопасности, порт SSH обычно меняют на номер, отличный от "22". Таким образом, «ssh» в этом контексте просто означает текущий назначенный (не 22) номер порта SSH.

Поскольку успешное подтверждение сертификата SSH ДОЛЖНО всегда требоваться для доступа к экрану входа в систему, любой журнал «ssh: notty» записи, вероятно, являются результатом ваших собственных неудачных попыток входа в систему; обычно из-за ошибочного ввода имени пользователя. Обратите внимание на IP-адрес, связанный с записью журнала ... вероятно, он ваш собственный!

«notty» означает «нет tty».

Изучите основы безопасности, как это работает, где находятся журналы и как их интерпретировать, а также где находятся различные файлы конфигурации и что означают директивы, и как настроить IPTables перед установкой и использованием сервера Linux. Ограничьте вход в систему «статическим IP-адресом» и ограничьте / ограничьте попытки входа в систему:

Директивы конфигурации BASIC SSH, которые ограничивают вход в систему и разрешают вход только от определенных пользователей и IP-адресов:

LoginGraceTime 30
MaxStartups 3:50:10
MaxAuthTries 4
PermitRootLogin no
AllowUsers YourUserName@YourIPAddress
PubkeyAuthentication yes
AuthorizedKeysFile   %h/.ssh/authorized_keys
PasswordAuthentication no

Не забудьте «перезапустить» SSH после редактирования.

ОСНОВНЫЕ правила IPTables, которые разрешают SSH-соединения только с определенного статического IP-адреса:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW                                 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags PSH,ACK PSH -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -s YourStaticIPAddress -m multiport --dports SSHPortNumber -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Не забывайте «восстанавливать» IP-таблицы после изменений.

В локальной сети или в «размещенном» облачная среда, не забудьте обезопасить «частную» сторону (сетевой адаптер). Ваши враги часто уже имеют доступ к вашей сети и входят через черный ход.

Если вы находитесь в облачной среде, такой как RackSpace или DigitalOcean, и вы нарушаете конфигурации и блокируете себя, вы всегда можете пройти через консоль и почините. ВСЕГДА ДЕЛАЙТЕ КОПИИ КОНФИГУРАЦИОННЫХ ФАЙЛОВ ПЕРЕД ИХ РЕДАКТИРОВАНИЕ !!!

Да, похоже, это попытки входа в систему, поскольку один и тот же IP-адрес использовал несколько имен пользователей для попытки входа. Скорее всего, это атака грубой силы.

Чтобы решить эту проблему:

Установите Fail2Ban и заблокируйте неудачные попытки входа в систему с помощью -1, что делает их запрет постоянным.

Добавьте файл тюрьмы для защиты SSH. Создайте новый файл с помощью редактора Nano или vi, vim

nano /etc/fail2ban/jail.d/sshd.local

В указанный выше файл добавьте следующие строки кода.

[sshd]

enabled = true

port = ssh

"#" action = firewallcmd-ipset

logpath =% (sshd_log) s

maxretry = 5

bantime = -1