昨天突然發(fā)現(xiàn)我服務(wù)器上的數(shù)據(jù)庫(kù)連不上了，就想著登服務(wù)器看一下。這才發(fā)現(xiàn)服務(wù)器登錄不上去。我的第一反應(yīng)是服務(wù)器帶寬被占用了，過(guò)了一會(huì)也登不上去，我意識(shí)到了出問(wèn)題。去騰訊云上重啟了服務(wù)器，然后才能正常登錄。
首先感謝這些博客，不然我一個(gè)小菜雞寸步難行：
文章1
文章2
文章3
文章4

今天有時(shí)間了，查看了一下昨天為什么會(huì)登錄不上去；

問(wèn)題排查

1.首先我用top命令，看了一下cpu內(nèi)存什么的（防止被人拿去挖礦），發(fā)現(xiàn)一切正常

top

2.其次，我看了一下登錄日志（last查看的是正常的登錄日志），看了一下IP，沒(méi)什么問(wèn)題，挺正常的

last

3.這時(shí)候我就有點(diǎn)懵了，都正常，這是為什么呢。我突然臨機(jī)一動(dòng)試了一下lastb這個(gè)命令(列出失敗嘗試的登錄信息)。
發(fā)現(xiàn)了大問(wèn)題，登錄失敗的登錄日志多的不得了，下面有截圖；

lastb

這三個(gè)IP，一直在嘗試登錄我的服務(wù)器，查了一下IP地址，有廣東，有俄羅斯，還找到了個(gè)葡萄牙的，基本上就確定了我服務(wù)器登不上的原因。用這個(gè)網(wǎng)站查的IP：https://www.ip138.com/

image.png

image.png

4.還有一個(gè)查看登錄日志的命令utmpdump，這個(gè)更方便查看，來(lái)自文章2。

• /var/run/utmp（用于記錄當(dāng)前打開(kāi)的會(huì)話）被who和w工具用來(lái)記錄當(dāng)前有誰(shuí)登錄以及他們正在做什么，而uptime用來(lái)記錄系統(tǒng)啟動(dòng)時(shí)間。
• /var/log/wtmp （用于存儲(chǔ)系統(tǒng)連接歷史記錄）被last工具用來(lái)記錄最后登錄的用戶的列表。
• /var/log/btmp（記錄失敗的登錄嘗試）被lastb工具用來(lái)記錄最后失敗的登錄嘗試的列表。
  查看登錄失敗的列表，分別找到了俄羅斯和葡萄牙兩個(gè)大哥21號(hào)和22號(hào)的登錄IP

utmpdump /var/log/btmp

image.png

image.png

解決辦法

目前我知道的東西有
1.這兩個(gè)大哥的IP；
2.他們不知道我的密碼；
他們?cè)谟?用戶名和密碼試著懵對(duì)我的信息，但是他們?cè)嚲桶盐曳?wù)器搞癱瘓了，我想了一下禁用他兩個(gè)的IP，但是細(xì)想了也不行，人家換個(gè)IP就接著搞我。
問(wèn)了一下大神，可以限制多次訪問(wèn)失敗的IP限制登錄。于是就找到了文章4；

配置的過(guò)程中，發(fā)現(xiàn)還有個(gè)自動(dòng)運(yùn)行的腳本，我以前沒(méi)弄過(guò)，看了一下他運(yùn)行的腳本，應(yīng)該沒(méi)什么大問(wèn)題，我就沒(méi)有管他，下面有我發(fā)現(xiàn)的腳本，有大神可以幫忙看看是什么東西；

image.png

image.png

image.png