在宝塔面板中使用日志清理工具发现/var/log/btmp这个文件每天都在变大。
通过搜索发现此文件是记录错误登录的日志,文件较大意味着有人使用密码字典登录ssh服务,这个文件是需要用lastab 命令才可读的。
既然是记录爆破日志的文件,就不能随意删除或者关闭。
可以使用下面命令查看恶意登录的前十IP

sudo lastb | awk '{ print $3}' | awk '{++S[$NF]} END {for(a in S) print a, S[a]}' | sort -rk2 |head

然后使用iptable进行封堵。
既然使用了宝塔,就有更简单智能的方法,打开软件商店然后在宝塔插件中安装Fail2ban防爆破即可。
Fail2ban防爆破插件功能很多,不但可以防止ssh恶意登录还可以防止ftpmysqlpostfixdovecot的恶意扫描,并且还能进行站点防护完成简单防CC防止站点扫面,非常好用,而且服务内存占用不高大概10M的样子,建议安装。

本站由企鹅小屋强力驱动
Last modification:March 10th, 2020 at 10:36 am
如果觉得我的文章对你有用,请随意赞赏