阅读量:0
一、背景
一台服务器突然访问ssh特别缓慢,top命令查看后,服务器Load Average占用很高。看相关异常进程都是sshd服务导致。
二、排查思路
查看服务器内存,磁盘io都是正常,在用连接数也不多。
一开始就怀疑是不是服务器被恶意攻击了,这是一台sftp主机,正常情况sshd也不会负载这么高,
后面重连服务器弹出以下错误
Using username "root". Keyboard-interactive authentication prompts from server: End of keyboard-interactive prompts from server Last failed login: Mon May 20 09:26:33 CST 2024 from 访问IPxxxx on ssh:notty There were 16904 failed login attempts since the last successful login. Last login: Tue May 14 13:54:41 2024 from 172.16.xxx.xxx ABRT has detected 1 problem(s). For more info run: abrt-cli list --since 1715666081 [root@localhost ~]# 应该是某个客户端挂了个脚本一直尝试访问sshd服务
三、处理方法
·查看btmp日志,btmp日志是记录失败登录尝试的日志文件,通常位于 /var/log/btmp。当 btmp 日志过大时,可能会导致系统资源被大量无效的登录尝试占用,影响正常服务的运行,比如 sshd 服务。
清除btmp日志
#清除btmp echo "" > /var/log/btmp 日志清空后,Load Average逐步恢复正常。
如果仍然异常,尝试重启以下服务
systemctl restart systemd-logind systemctl restart sshd 统计查看恶意ip试图登录次数
lastb | awk '{ print $3}' | sort | uniq -c | sort -n lastb | awk '/\(/{ print $3}' | sort | uniq -c | sort -n 在防火墙处最后限制异常IP访问
附加:btmp日志为二进制格式,无法用常用vi等查看
查看格式:
last -f /var/log/btmp last -f /var/log/btmp | awk '/\(/{ print $3}' | sort | uniq -c | sort -n 