我的后台记录中，auth.log里经常看到有人测试我的ssh用户和密码，怎么办呢？多谢

Posted 2023-04-06

参考技术A 恩，这个是有人通过工具测试的，如果频繁来自一个单独IP，可以用防火墙的方式把这个IP禁止访问。可以这样禁止：

#屏蔽单个IP的命令是
iptables -I INPUT -s 123.45.6.7 -j DROP

#封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP

#封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP

#封IP段即从123.45.6.1到123.45.6.254的命令是
iptables -I INPUT -s 123.45.6.0/24 -j DROP本回答被提问者采纳

奇怪的openssh-server登录/var/log/auth.log

【中文标题】奇怪的openssh-server登录/var/log/auth.log

【英文标题】：Strange openssh-server log in /var/log/auth.log

【发布时间】：2014-02-21 07:43:02

【问题描述】：

我在我的日志文件中发现了一个非常奇怪的条目

Jan 29 01:35:30 vs-proj-handy sshd[5316]: Received disconnect from 130.207.203.56: 11: These aren't the droids we're looking for. [preauth] 

我猜是“这些不是我们正在寻找的机器人”的信息。是某种退出消息吗？但如果是，我该如何重现呢？我找不到 opensshd 存储其标准断开字符串的任何地方。

那么这条退出消息是标准消息吗？如果不是，我该如何重现？

【参考方案1】：

在我的日志中看到其中的 5 个后，我向 GA Tech 滥用地址发送了一条说明。我收到了一个及时的回复：

这项活动是佐治亚理工学院正在进行的研究项目的一部分。

我很惊讶他们的自定义断开连接消息没有提供有关研究项目的信息。

【参考方案2】：

为了直接回答您的问题，该消息来自客户端。服务器只记录客户端在断开连接之前发送的任何消息。

今天早上我的日志文件中有完全相同的消息。 IP 地址属于乔治亚理工学院。在我的服务器上，他们没有尝试登录或做任何恶意的事情。他们只是连接然后断开连接并留下该消息。

我要冒昧地说可能是乔治亚理工学院的一些学生使用 libssh2 示例中的代码来取笑。请参阅http://www.libssh2.org/examples/ssh2_agent.html，搜索“正常关机，感谢您的参与”以查看可以轻松插入自定义断开消息的位置。

【讨论】：

我今天收到了同样的消息，而且来自佐治亚理工学院的 IP 地址。

为什么这些不是我们要找的机器人？