荒岛
第一次见到SSH爆破把机子内存干爆了的。。
起因:早上发现站打不开了,提示数据库连接失败。然后登上去检查数据库运行状态:
journalctl -u mariadb.service
发现被OOM了:
OOM就是机子内存耗尽的时候,内核会自动触发OOM-Killer杀进程释放内存。OOM发生时是肯定可以在dmesg里面找到详细日志的:
journalctl -k
我发现时间发生在11号21点46分(UTC时间)
我详细看了这个日志,比较纳闷的是这个日志里面为什么会有这么多的sshd进程,按道理来说那种全网扫描爆破ssh的,试个1-2次就不会继续了,哪怕就是故意来爆破你机子ssh的也不可能让ssh起这么多进程啊。。因为OOM只管杀进程释放内存,被杀的进程并不一定是真正的元凶,所以我想找到当时机子内存耗尽的根本原因。
接着我用下面的命令查看OOM前后5分钟的日志:
journalctl --since "2025-09-11 21:40:00" --until "2025-09-11 21:50:00"
结果就发现这个IP:148.72.158.192是真的牛逼,它这是一秒钟射了多少次啊?你管这叫爆破ssh?你搁这…搁这压力测试呢?
148.72.158.192你妈妈喊你回家吃饭,别在网上搞破坏了!
在经历过忘记root密码,以及被这样的ssh爆破后,我感觉是时候改改用密码登录的习惯了,重要的机子换端口+key登录确实很有必要=-=
为什么之前一直不太愿意用key登录,或者说习惯了用密码登录,是因为很多VPS交付的时候就是用的密码登录,甚至有些商家的面板根本不支持key登录。。手上机子一多,这样一个个改多麻烦,久而久之就养成了密码登录的习惯。。。
该配置fakessh蜜罐+fail2ban了,大佬
以前用22端口+密钥登陆, 加上fail2ban+ufw, 两年能屏蔽3w ip, 但是后面发现也是吃性能, 经常1c/2c小鸡cpu占用干到50-100%
. 后面就改高位端口+密钥了, 清净不少