最近查看 VPS 每天自动发送到邮箱的运行日志,发现 ssh 有很多 "Invalid user" 的提示,登录上去看看。
查看了日志以后发现了两个现象。
第一个是有很多连接,都是不同的 IP,连了就跑也不尝试登录,每个 IP 也只连一次。我的 ssh 端口当然不是 22,而且我的 iptables 设置了规则,只要尝试了连接没开放的端口就直接封 IP 一段时间,哪怕之后再连接开放的端口也不给过,除非一段时间什么端口都不连才给解除封禁。
然而在日志里查了下那些 IP,也并没有连接其他端口的记录。说明这些 IP 是一上来就直接连接了我的 ssh 端口。想了想,很可能是我的 ssh 端口和某个已经被分配了的标准端口重合了。查了下,果然如此。以前没发生这个问题可能是没有扫到我的 VPS 上来。把 ssh 端口换到了一个确认没有被分配到端口上就解决问题了。
第二个现象是有几个 IP 不断的尝试以各种用户名登录。统计了一下,尝试的用户名包括了 "root","admin","mysql" 之类的,还有些 "stephan","marry","lucia","lucky" 之类的诡异用户名。
但这个扫描是同一个 IP 不断尝试,所以就直接封 IP 了事。
但是暂时没弄清楚的是这些尝试用户名登录的家伙是怎么通过防火墙那一关的,难道没有尝试别的端口就直接知道了我的 ssh 端口吗?细思极恐。
