最近我和几个朋友想出了一个应用的主意。为了方便开发,我们在一台Ubuntu Server 12.04上设置了LAMP。这台服务器放在我家里。我们设置了3个用户账户。虽然我对Linux还不太熟悉,但是我在自己的电脑上使用Ubuntu也有一些经验。
今天我在玩SSH并查看日志(我需要学会如何阅读这些信息来了解服务器的运行情况,对吧?)时,看到了一件奇怪的事情。
在/var/log/auth.log和/var/log/auth.log.1中,我看到了一堆针对'root'和一些我不熟悉的用户名的登录失败尝试。我仔细查看了它们,据我所见,除了系统上的实际用户外,没有其他用户通过认证。很多列出的IP地址似乎来自俄罗斯。
目前,这台服务器上只有一个原始的Ubuntu Server和LAMP,但即使如此,使用以下命令:
我得到了3412个结果。这对于一个自4月8日以来一直运行的服务器来说似乎过多了。更糟糕的是,对auth.log.1运行上述命令返回了23075个(!!!)结果。
很明显有人试图入侵这台服务器。虽然里面没有任何有价值的东西,但一旦我们在应用程序上取得进展,我们就不希望我们的知识产权被盗窃。
我应该担心吗?我能做些什么呢?
编辑:
我在这里找到了一些非常有用的信息,这使我能够运行一个脚本,将所有无效密码和无效用户尝试登录的情况进行拆分和排序。对于通过谷歌搜索到这里的人可能会有所帮助!
今天我在玩SSH并查看日志(我需要学会如何阅读这些信息来了解服务器的运行情况,对吧?)时,看到了一件奇怪的事情。
在/var/log/auth.log和/var/log/auth.log.1中,我看到了一堆针对'root'和一些我不熟悉的用户名的登录失败尝试。我仔细查看了它们,据我所见,除了系统上的实际用户外,没有其他用户通过认证。很多列出的IP地址似乎来自俄罗斯。
目前,这台服务器上只有一个原始的Ubuntu Server和LAMP,但即使如此,使用以下命令:
sudo grep -i fail /var/log/auth.log | wc -l
我得到了3412个结果。这对于一个自4月8日以来一直运行的服务器来说似乎过多了。更糟糕的是,对auth.log.1运行上述命令返回了23075个(!!!)结果。
很明显有人试图入侵这台服务器。虽然里面没有任何有价值的东西,但一旦我们在应用程序上取得进展,我们就不希望我们的知识产权被盗窃。
我应该担心吗?我能做些什么呢?
编辑:
我在这里找到了一些非常有用的信息,这使我能够运行一个脚本,将所有无效密码和无效用户尝试登录的情况进行拆分和排序。对于通过谷歌搜索到这里的人可能会有所帮助!