Dies bedeutet, dass die Leute versuchen, Ihre Passwörter brutal zu erzwingen (üblich auf allen öffentlich zugänglichen Servern).
Es sollte keinen Schaden anrichten, diese Datei zu löschen.
Eine Möglichkeit, dies zu reduzieren, besteht darin, den Port für SSH von 22 in einen beliebigen Port zu ändern. Aus Sicherheitsgründen kann DenyHosts Anmeldeversuche nach einer bestimmten Anzahl von Fehlern blockieren. Ich würde es wärmstens empfehlen, es zu installieren und zu konfigurieren.
fail2ban kann auch eine große Hilfe für Computer sein, die das Internet nicht aus den Augen verlieren müssen, Port 22 SSH. Es kann so konfiguriert werden, dass hosts.allow oder iptables mit flexiblen Schwellenwerten verwendet werden.
Ich benutze das, aber es hindert btmp nicht daran, sich zu füllen, so dass dies keine vollständig hilfreiche Antwort für sich ist. Ich würde gerne wissen, ob es eine Möglichkeit gibt, diese Protokolle zu drehen oder in ihrer Größe zu beschränken. Ich versuche nachzuschlagen.
LeetNightshade
10
Sie können die Datei auch mit dem Befehl lastb untersuchen und die IP-Nummer ermitteln und möglicherweise den weiteren Zugriff der IP-Nummer oder des Netzwerks auf Ihren Computer blockieren. Dies gibt auch Auskunft über das gehackte Konto. Höchstwahrscheinlich wird es root sein, aber Sie wissen es nie
lastb -a | moreDies ist ein guter Weg, um die vollständigen Informationen zum Remote-Host abzurufen und sich ein Bild davon zu machen, was gerade vor sich geht.
Nealmcb
4
Was ich tue, obwohl ich es skripte, ist, den Befehl so zu benutzen:
lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'
** Das "^ 192" ist das erste Oktett meines lokalen Netzwerks (nicht routingfähig). Ich automatisiere dies (auch skriptgesteuert) folgendermaßen:
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`; do iptables -A INPUT -s $i -j DROP ; done
iptables-save
Oder
for i in `lastb -a | awk '{print $10}' | grep -v ^192 | sort | uniq | sed '/^$/d'`
do
iptables -A INPUT -s $i -j DROP
done
iptables-save
Nur ein anderer Blick für die Sichtbarkeit ... Das funktioniert gut für mich
Was die Größe der / var / log / btmp-Datei betrifft, müssen Sie logrotate für diese aktivieren - schauen Sie sich Ihre logrotate conf-Datei an, damit eine ähnliche Datei gedreht wird - normalerweise in /etc/logrotate.d/ - schauen Sie im syslog oder yum für das format und man logrotate zeigt dir alle optionen. C4
Das wird den Raum zurückgewinnen. Lassen Sie etwas Zeit, um etwas zu füllen und implementieren Sie dann iptables, ändern Sie den ssh-Port oder installieren und konfigurieren Sie fail2ban
Antworten:
Dies bedeutet, dass die Leute versuchen, Ihre Passwörter brutal zu erzwingen (üblich auf allen öffentlich zugänglichen Servern).
Es sollte keinen Schaden anrichten, diese Datei zu löschen.
Eine Möglichkeit, dies zu reduzieren, besteht darin, den Port für SSH von 22 in einen beliebigen Port zu ändern. Aus Sicherheitsgründen kann DenyHosts Anmeldeversuche nach einer bestimmten Anzahl von Fehlern blockieren. Ich würde es wärmstens empfehlen, es zu installieren und zu konfigurieren.
quelle
fail2ban kann auch eine große Hilfe für Computer sein, die das Internet nicht aus den Augen verlieren müssen, Port 22 SSH. Es kann so konfiguriert werden, dass hosts.allow oder iptables mit flexiblen Schwellenwerten verwendet werden.
quelle
Sie können die Datei auch mit dem Befehl lastb untersuchen und die IP-Nummer ermitteln und möglicherweise den weiteren Zugriff der IP-Nummer oder des Netzwerks auf Ihren Computer blockieren. Dies gibt auch Auskunft über das gehackte Konto. Höchstwahrscheinlich wird es root sein, aber Sie wissen es nie
quelle
lastb -a | more
Dies ist ein guter Weg, um die vollständigen Informationen zum Remote-Host abzurufen und sich ein Bild davon zu machen, was gerade vor sich geht.Was ich tue, obwohl ich es skripte, ist, den Befehl so zu benutzen:
** Das "^ 192" ist das erste Oktett meines lokalen Netzwerks (nicht routingfähig). Ich automatisiere dies (auch skriptgesteuert) folgendermaßen:
Oder
Nur ein anderer Blick für die Sichtbarkeit ... Das funktioniert gut für mich
Was die Größe der / var / log / btmp-Datei betrifft, müssen Sie logrotate für diese aktivieren - schauen Sie sich Ihre logrotate conf-Datei an, damit eine ähnliche Datei gedreht wird - normalerweise in /etc/logrotate.d/ - schauen Sie im syslog oder yum für das format und man logrotate zeigt dir alle optionen. C4
quelle
Das wird den Raum zurückgewinnen. Lassen Sie etwas Zeit, um etwas zu füllen und implementieren Sie dann iptables, ändern Sie den ssh-Port oder installieren und konfigurieren Sie fail2ban
quelle