昨晚折腾了以下1panel的第三方docker库,然后下班回家,第二天早上发现网站打不开了。重启服务器后进入1panel后台,发现占用非常高,卸载了几个docker镜像,稍好一点了。然后我去查看ssh登录日志。发现好几个以我拥有域名为账号名的ssh登录尝试,从下午五点到10点多,一直在尝试。
我不确定是服务器被泄露,还是有人查了whios后尝试破解?
给大家提个醒,不要用网站域名相关内容作为ssh登录账号,更不要直接用root账号!
然后有几个127.0.0.1的本地连接,我不确定是不是我自己登录的,有可能是被黑了,我先改个ssh账号密码,开启证书访问登录吧。
是不是阿里云的服务器,我从上上个周开始一直被ssh登录,而且集中白天上午和凌晨几段时间,不停的试探,不知道需要不需要套一个CDN,预防一下,省的IP直接暴露
是阿里的,一直都有人尝试登陆ssh,不过之前都是一些常用名撞库尝试,今天发现居然用我的域名尝试,觉得有点严重,就发个文提醒一下大家
试试fail2ban,把请求登录错误次数超过一定数量的直接丢到黑名单里去。
开了开了~希望能有效果