SSH暴力破解判断
1、判断是否遇到ssh暴力破解journalctl -xe
2、查询被暴力破解的用户名
grep "invalid user" /var/log/auth.log | cut -d ' ' -f 10 | sort | uniq -c | sort -nr > /usr/local/test.log3、查询异常进程,cpu和内存占用比较高的top
4、排查异常链接ps aux
5、排查docker里面的实例是否正常运行
OCI runtime create failed: container with id exists
cd /run/docker/runtime-runc/moby
删除对应的文件6、排查是否遭遇挖矿病毒
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=14816...
解决方案
1、禁止root的ssh登录,限制用户登录,采用普通用户加复杂密码
2、安装Fail2ban禁止登录失败ip
https://www.cnblogs.com/fireicesion/p/17342246.html
3、解决暴力破解导致buff/cache过高问题
查询占用前10
hcache -top 10释放buff/cache
sudo sync; sudo echo 1 > /proc/sys/vm/drop_caches这是一个perl脚本,因为没怎么用到perl 所以直接给perl改名 mv /usr/bin/perl /usr/bin/perl-bak,然后锁定目录chattr +i /usr/bin #看自己情况操作
ubuntu
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。