当 lastb 刷屏时:你的服务器正在被黑客 “撞门”,这几招让攻击有来无回

已于 2025-05-29 20:04:53 修改
阅读量538 收藏 4
点赞数 9
CC 4.0 BY-SA版权
分类专栏: 每日一令:Linux 极简通关指南 文章标签: 服务器 运维 ssh漏洞 服务器安全 性能优化
于 2025-05-29 09:23:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cui_win/article/details/148299873

当你在Linux系统上用lastb命令查看登录失败记录时,发现密密麻麻全是陌生IP的尝试痕迹,别慌!这大概率是系统正遭遇暴力破解攻击,比如黑客不断用不同账号密码“撞库”,想强行登录你的服务器。此时就需要一套高效方案来应对:快速识别攻击源、自动封锁恶意IP、强化登录安全、切断黑客入侵路径……而接下来要介绍的这套处理方法,正是专为解决这类“系统被暴力破解攻击、登录安全告急”的场景设计的,能帮你快速止损并筑牢系统防线。

以下是详细的处理步骤:

目录

1. 确认攻击情况

首先使用以下命令确认攻击来源和频率:

lastb | awk '{print $3}' | sort | uniq -c | sort -nr | head -n 10

此命令会显示尝试登录失败次数最多的IP地址。

2. 临时封锁攻击源

使用iptablesfirewalld临时封锁频繁尝试登录的IP:

# 使用iptables(临时封锁,重启后失效)
iptables -A INPUT -s 攻击IP -j DROP

# 使用firewalld(永久封锁)
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="攻击IP" reject'
firewall-cmd --reload

3. 启用实时监控工具

安装fail2ban来自动识别并封锁恶意IP:

# Ubuntu/Debian
sudo apt-get install fail2ban

# CentOS/RHEL
sudo yum install fail2ban

# 配置fail2ban(示例:封锁SSH暴力破解)
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

[ssh]部分启用监控并设置封锁规则:

[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log  # Debian/Ubuntu
# logpath = /var/log/secure  # CentOS/RHEL
maxretry = 3  # 尝试3次失败后封锁
bantime = 86400  # 封锁24小时
findtime = 3600  # 1小时内计算尝试次数

启动并设置开机自启:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. 强化SSH配置

编辑SSH配置文件:

sudo nano /etc/ssh/sshd_config

修改以下参数:

Port 2222  # 修改默认端口(可选)
PermitRootLogin no  # 禁止root直接登录
MaxAuthTries 3  # 最大认证尝试次数
PasswordAuthentication no  # 禁用密码登录(推荐使用密钥)
PermitEmptyPasswords no  # 禁止空密码
UsePAM yes  # 启用PAM认证

重启SSH服务:

sudo systemctl restart sshd

5. 检查系统安全漏洞

  • 更新系统

    # Ubuntu/Debian
sudo apt-get update && sudo apt-get upgrade

# CentOS/RHEL
sudo yum update

  • 检查异常进程

    ps aux | grep -vE '^(USER|root)' | awk '{print $1, $2, $8, $11}' | sort -k3

  • 检查计划任务

    cat /etc/crontab
cat /etc/cron.*/*

6. 查看日志分析攻击细节

查看认证日志获取更多信息:

# Debian/Ubuntu
sudo grep 'Failed password' /var/log/auth.log | tail -n 20

# CentOS/RHEL
sudo grep 'Failed password' /var/log/secure | tail -n 20

7. 配置SSH密钥登录(推荐)

生成密钥对(客户端执行):

ssh-keygen -t rsa -b 4096

将公钥复制到服务器:

ssh-copy-id -i ~/.ssh/id_rsa.pub username@服务器IP

禁用密码登录(服务器配置):

sudo nano /etc/ssh/sshd_config
# 设置 PasswordAuthentication no
sudo systemctl restart sshd

8. 定期审计系统

  • 安装auditd进行系统审计:

    # Ubuntu/Debian
sudo apt-get install auditd

# CentOS/RHEL
sudo yum install auditd

  • 配置审计规则:

    sudo nano /etc/audit/rules.d/audit.rules
# 添加规则(示例:监控/etc/passwd变更)
-w /etc/passwd -p wa -k identity

总结

通过以上步骤,你可以有效应对暴力破解攻击并提升系统安全性。建议定期检查系统日志并保持软件更新,以防范新的安全威胁。

Linux-SSH攻击-解决方案
韩俊强的博客
02-17 1883
SSH端口暴露在公网上很可能被黑客扫描,并尝试登入系统。这种攻击基本每天都在发生。
Linux lastb 命令详解:显示系统的失败登录尝试记录
yangchuang111213的博客
03-28 789
lastb命令用于显示系统的失败登录尝试记录。它从文件中读取信息,列出所有失败的用户登录尝试,帮助系统管理员检测潜在的安全风险,如暴力破解攻击等。该命令类似于last,但仅显示失败的登录尝试。由于文件存储的是二进制格式的登录失败信息,不能直接使用cat或less进行查看,必须使用lastb命令解析和显示数据。lastb命令是last的增强版,专用于查看失败的登录尝试。它对于系统管理员来说是一个重要的工具,能够帮助检测恶意登录尝试,提高服务器安全性。结合fail2ban。
服务器黑客攻击应急响应与加固指南(上)
@云安全小杜
04-28 813
【代码】云服务器黑客攻击应急响应与加固指南(上)
lastb command
Dablelv 的博客专栏。
10-27 1427
lastb 命令用于显示用户错误的登录列表。lastb 可以发现系统的登录异常。单独执行 lastb 命令,它会读取位于 /var/log 目录下名为 btmp 的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。
Linux服务器遭受黑客攻击的日志分析排除
my_csdn_lsq的博客
04-22 1861
0x00 前言 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 本文简介一下Linux系统日志及日志分析技巧。 0x01 日志简介 日志默认存放位置:/var/log/ 查看日志配置情况:more /etc/rsyslog.conf   比较重要的几个日志: 登录失败记录:/var/log/btmp //lastb 最后一次登录...
centos 系统服务器黑客攻击怎么办?
求是
03-05 1757
1.先把sshd登录这块给他搞定 #!/bin/bash rm -rf /home/shell/ip_list cat /var/log/secure | grep "Failed password for" | awk '{print$(NF-3)}' | sort | uniq -c > /home/shell/ip_list #cat /var/log/secure | grep...
服务器黑客入侵了怎么办?
PAINzw的博客
12-25 2181
服务器黑客入侵了怎么办? 遇到服务器被黑,很多人会采用拔网线、封 iptables 或者关掉所有服务的方式应急,但如果是线上服务器就不能立即采用任何影响业务的手段了,需要根据服务器业务情况分类处理。 下面我们看一个标准的服务器安全应急影响应该怎么做,也算是笔者从事安全事件应急近 6 年以来的一些经验之谈,借此抛砖引玉,希望大神们不吝赐教~ 如上图,将服务器安全应急响应流程分为如下8 个环节: ·发现安全事件(核实) ·现场保护 ·服务器保护 ·影响范围评估...
服务器数据库被攻击后修复经验
Lmh_java的博客
11-28 3580
大概在11月初的候,在腾讯云上租了一台轻量级应用服务器。当是以学生价格入手的,非常便宜,性价比也非常高。当还加了一点钱租了一个.design的域名,感觉非常划算。之后却被黑客攻击,删库勒索,笔者追查好久才追查出最后的漏洞,并且及修补。本文记录了笔者的漏洞排查和修补经验。
Linux服务器被入侵之后的处理方法
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
09-13 2084
安全事件处理流程 如上图,将服务器安全应急响应流程分为如下 8 个环节: 发现安全事件(核实)—现场保护–服务器保护—影响范围评估—在线分析—数据备份—深入分析----事件报告整理 各阶段说明 核实信息(运维/安全人员) 根据安全事件通知源的不同,分为两种: 外界通知:和报告人核实信息,确认服务器/系统是否被入侵。现在很多企业有自己的 SRC(安全响应中心),在此之前更多的是依赖某云。这种情况入侵的核实一般是安全工程师完成。 自行发现:根据服务器的异常或故障判断,比如对外发送大规模流量或者系统负载异常高等
Linux lastb命令用法详解
01-09
Linux lastb命令 Linux lastb命令用于列出登入系统失败的用户相关信息。 单独执行lastb指令,它会读取位于/var/log目录下,名称为btmp的文件,并把该文件内容 记录的登入失败的用户名单,全部显示出来。 语法lastb ...
网络日志分析场景三:服务器陷落
李晨光原创IT博客
12-17 1024
本文主要讲述了一个网络安全事件,其中小王(网管)在办公室发现服务器无法登录,随后发现服务器可能遭受了安全攻击
Linux自学之旅-基础命令(查看系统错误登录信息lastb命令)
水奈濑结花的博客哦!
03-29 794
系统痕迹命令之lastb 文章目录前言一、lastb命令格式二、lastb使用 前言 1.上一节我们讲述了查看系统所有用户的最后登录间命令lastlog,还没看的可点击下方链接进入观看:lastlog 2.这一节我们讲述一个专查看错误登录的信息的命令 提示:以下是本篇文章正文内容 一、lastb命令格式 命令名称:lastb 命令全称 :show listing of last logged in users 所在路径:/usr/bin/lastb 执行权限:所有用户 功能描述:查看系统错误登录
python在windows电脑找回WiFi密码
最新发布
qq_43596960的博客
07-23 226
本文介绍了一个Python脚本,用于在Windows系统中获取当前连接的Wi-Fi网络及其保存的密码。脚本首先检查是否以管理员权限运行,然后通过netsh wlan show interface命令获取当前Wi-Fi名称,再使用netsh wlan show profile命令查询该网络的密码。其中包含详细的代码注释,解释了正则表达式匹配、子进程调用和异常处理等关键步骤。该脚本仅适用于已保存密码的Wi-Fi网络,运行需要管理员权限,并非用于破解密码。最后提供了用户友好的交互界面,显示结果后等待用户确认退出
【ESP32设备通信】-使用Modbus RTU读取传感器数据
视觉与物联智能
07-20 351
在本文中,我们将深入研究 Modbus RTU 协议,并学习如何使用 ESP32 实现该协议,以便通过 RS485 从从设备读取传感器数据。为了简化和加深理解,我们将重点介绍一个基于 Modbus RTU 协议的温湿度传感器。我们将对 ESP32 进行编程,使其能够通过 RS-485 读取传感器数据,从而通过实践操作来理解这种通信方式。
基于大模型打造故障预警服务器巡检机器人
weixin_45631123的博客
07-19 831
在大规模服务器集群管理中,带外监控(Out-of-Band Management)是保障系统稳定性的关键。本文介绍的智能监控工具基于Python开发,通过IPMI协议实现对服务器硬件状态的实监控,结合本地资源监控、智能分析与持久化存储,构建了一套完整的服务器健康度管理体系。完整代码可在Gitee获取,欢迎贡献优化建议。
服务器】常用PCIe 5.0 Retimer芯片厂家及型号
都给我的博客
07-23 878
采用标准BGA封装,适用于Riser卡、主板及NVMe背板,可与Switchtec PCIe交换机协同工作。:PCIe 5.0 Retimer与Redriver不可混用——Retimer重建信号钟,适用于>10英寸的长距传输;采用354-ball BGA封装,集成自适应CTLE/DFE均衡技术(36dB损耗补偿),适用于服务器、存储设备及高性能工作站。PCIe 5.0 Retimer芯片能够有效补偿信道损耗、消除信号抖动,显著提升信号完整性并延长高速信号传输距离。
编程与数学 03-001 计算机组成原理 21_服务器计算机组成实例解析
明月看潮生的博客
07-23 927
本文以Dell PowerEdge R750服务器为例,深入解析了服务器计算机的硬件架构特点、性能优化技术及典型应用场景。硬件架构方面,探讨了多核/多处理器设计、大容量高带宽内存、高速存储系统和高可用性设计。性能优化技术涵盖并行计算、虚拟化支持和网络I/O优化。
Python脚本服务器迁移至K8S集群部署
凡心所向,素履以往,生如逆旅,一苇以航
07-23 350
本文介绍将CentOS服务器上的Python定任务迁移到K8S集群的实施方案。通过将Python脚本及其运行环境打包为标准化容器镜像,并使用Kubernetes原生CronJob进行集成。具体步骤包括:1)创建项目目录结构;2)导出Python环境依赖;3)构建包含系统依赖和语言环境的Docker镜像;4)配置持久化存储和CronJob任务。方案重点解决了环境一致性、敏感信息隔离和资源混用问题,同保留了原有路径和语言设置。通过NFS存储类实现日志持久化,并创新性地挂载节点本地目录以存储临数据。
编写python语句获取last,lastb数据
09-27
如果你正在尝试从某个数据结构(如列表、字典或其他集合类型)中获取名为"last"和"lastb"的数据,你需要提供具体的上下文信息,因为Python语句会依赖于这个数据的具体存储方式。 假设你有一个字典,你可以这样获取值: ```python data = { "first": "example", "last": "Smith", "lastb": 456 } last_value = data.get("last") lastb_value = data.get("lastb") print(last_value) # 输出: Smith print(lastb_value) # 输出: 456 # 如果字典中不存在这些键,get()函数会返回None或你指定的默认值 ``` 如果是在列表中,特别是二维列表,你可能需要遍历找到特定元素: ```python list_data = [[...], [...], {"last": ..., "lastb": ...}] for item in list_data: if isinstance(item, dict): last = item.get("last", None) lastb = item.get("lastb", None) print(last, lastb) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值