Недавно зашел на наш сервер после того, как у нас произошел сбой сайта, чтобы перезапустить его, и заметил более 50 000 неудачных попыток входа на сервер с момента последнего успешного входа всего пару дней назад. Поэтому я сначала запустил последнюю команду и не обнаружил никаких подозрительных успешных попыток входа в систему, а затем запустил lastb и получил огромный список, в основном из Китая и схожих IP-адресов.
Мой главный парень, который занимается этим, сейчас в отпуске, так что я как бы медленно учусь; Мне просто интересно, могло ли это быть причиной сбоя и замедления сервера заранее, если это атака или попытка взлома, и рекомендации по исправлению.
fail2ban - замечательный пакет, доступный в большинстве дистрибутивов Linux. Он отслеживает неудачные попытки входа в систему и некоторое время после слишком большого количества блокировок этого IP-адреса. Вы можете попробовать установить это.
Люди, постоянно пытающиеся войти в систему, могут вызвать высокую нагрузку, если их достаточно, чтобы попытаться достаточно быстро.
Люди стучатся в ваша дверь постоянно со всего Интернета, пытаясь найти способ проникнуть и злоупотребить вашей системой. Кажется маловероятным, что это было причиной сбоя вашей системы (но нельзя полностью исключить его).
Вам следует заглянуть в свои системные журналы, чтобы увидеть, есть ли какие-либо соответствующие / интересные сообщения, которые появляются в это время или примерно в это время. что в системе возникли проблемы при попытке выяснить, в чем проблема. Я считаю Научный метод полезным инструментом в подобных случаях.
Вы можете заблокировать диапазон IP-адресов, откуда вы получаете нежелательные попытки входа в систему.
Я пишу демонстрацию с общедоступным IP 1.2.3.4
Замените 1.2.3.4 на IP адрес, с которого вы получаете попытки входа в систему.
Для блокировки 1.2.3. * диапазон адресов:
iptables -A INPUT -s 1.2.3.0/24 -j DROP
Для блокировки 1.2. . диапазон адресов:
iptables -A INPUT -s 1.2.0.0/16 -j DROP
Для блокировки 1. . . * диапазон адресов:
iptables -A INPUT -s 1.0.0.0/8 -j DROP
После определения диапазона, который вы хотите заблокировать, сохраните изменения, внесенные в iptables.
iptables-save
Но будьте осторожны при блокировании с помощью Этот способ. Это заблокирует весь трафик из этого диапазона IP.