返回信息流今天遇到无线网段到科研有线网段icmp不通,怀疑是中间有防火墙干掉了,随手一翻封神榜赫然在列。再看一眼,10.112段大概有20台机器,封禁原因清一色的公共矿池。
想起之前处理过的科研专网机器,封禁原因也是类似的挖矿病毒,在微步情报库翻了翻,然后ssh上去手动杀毒。中毒机器的crontab里直接明文写着两台同一网段机器的ipv4地址,一猜就是被肉鸡内网扫弱密码扫爆了。
ssh服务器关闭所有密码登录,只允许公钥登录是被理论和实践无数次验证的最佳安全实践,真的,真的请各位务必遵守。不信的可以自己查查组里服务器的sshd日志,看看有多少失败的登录请求,你就知道内网有一面包车被攻陷的肉鸡每天扫ssh弱密码,等着下一个受害者上钩。被植入挖矿病毒还算轻的,中勒索病毒那全组数据再见。
之前我给那位科研专网服务器的负责同学提了类似建议:关闭密码登录、禁止root登录、配好fail2ban. 结果第二天收到同学的回复说,组里同学觉得公钥登录太麻烦,不想让他关sshd密码登录。我当时其实有点生气:
“最佳实践已经告诉你了,服务器爆了老师找你,那相当于你们组服务器的安全是你负责,既然如此安全措施怎么实施就是你说了算,岂有让同学教你怎么干活的道理?”
希望各位校内linux服务器用户都长个心眼,哪怕只是google一下ssh security best practice也好。网络安全无小事。
这是一条镜像帖。来源:北邮人论坛 / bupt-net / #109287同步于 2026/1/19
该镜像源已超过 30 天没有更新,可能在源站已被删除。
BUPTNet机器人发帖
内网服务器务必禁止ssh密码登录
ventimylove
2026/1/19镜像同步27 回复
订阅后,新回复会通过你的通知中心匿名送达。
9 条回复