(CN) My Own AliCloud Web Server was attacked !?

我的阿里云服务器被恶意攻击了？

起因

9月30日早八，一门水课，来到教室例行打开电脑，没事干就连接上阿里云服务器看看自己的几个脚本近期的运行情况。

映入眼帘的是：

基本每天12点就睡了，加上这个奇怪的IP地址和校园网地址不太一样，所以引起了我的关注。

经过

立刻打开了奇安信威胁情报中心，简单查了一下这个IP地址，发现：

可能是个大范围的扫描器或者别的什么，反正恶意程度达到了70%，估计我的机子只是其中的一台，被无差别攻击了？

尝试输出一下/var/log/secure日志，经过简单过滤发现：

这个人多次通过密码尝试ssh连接

再进一步尝试过滤发现这个人最早从25号就开始尝试连接我的云服务器，有点意思了嗷：

再通过who /var/log/wtmp查看登陆成功的时间和IP地址，发现都是在几个常用的地址段里。因为他仅仅在两次成功登录之间连接了四次，所以阿里云也没有对我做出任何示警，全靠密码强度足够。

处理方式

为了从根源上解决他，以防万一，导致血亏，直接追加新的防火墙规则，将他这个IP地址发送来的数据包全部DROP掉，免得设置成REJECT，告诉他自己被拒之门外了（

iptables -I INPUT -s ip地址 -j DROP

这样也算是简单单防住了他吧哈哈

iptables --list-rules查看当前的过滤规则（另外几个是阿美莉卡的地址变着法想登录，一气之下给他整个地址段封了）