事情发生在国庆节前夕正在上班。突然收到阿里云的提醒信息ECS的root账户在异地登录。登录到阿里云查看有登录IP搜索了下这个IP是越南的。自认为密码已经设置的够复杂,结果还是被爆破!
如果你收到和我同样的信息,提示 root 被异地登录。不要迟疑首先第一件事就是登录到 ECS 先更改 root 密码。这种爆破速度一般都是机器不停的尝试密码,爆破成功后在通知操作者,所以还是有时间来处理。更改密码后查询secure日志发现是在10:11被爆破登录成功,我在10:16登录修改的密码。在我更改密码后几分钟内一直在被爆破。
后续操作是直接更换为秘钥登录,但是后台查看secure日志还是在不停的尝试日志。索性后来就把SSH的端口给改了,之后过了两天查看日志清净了。建议各位,为了安全还是把SSH的密码登录改为秘钥登录并修改默认的 SSH 端口,也建议不要关闭服务商提供安全策略。在ECS的安全组目前只开启了80和443端口,其他没用的一律关闭,也要定期update下服务器。要记住你的密码在复杂也经不起机器的爆破,不防御早晚被爆破。有条件还是建议设置备份计划。
