昨天突然发现我服务器上的数据库连不上了，就想着登服务器看一下。这才发现服务器登录不上去。我的第一反应是服务器带宽被占用了，过了一会也登不上去，我意识到了出问题。去腾讯云上重启了服务器，然后才能正常登录。
首先感谢这些博客，不然我一个小菜鸡寸步难行：
文章1
文章2
文章3
文章4

今天有时间了，查看了一下昨天为什么会登录不上去；

问题排查

1.首先我用top命令，看了一下cpu内存什么的（防止被人拿去挖矿），发现一切正常

top

2.其次，我看了一下登录日志（last查看的是正常的登录日志），看了一下IP，没什么问题，挺正常的

last

3.这时候我就有点懵了，都正常，这是为什么呢。我突然临机一动试了一下lastb这个命令(列出失败尝试的登录信息)。
发现了大问题，登录失败的登录日志多的不得了，下面有截图；

lastb

这三个IP，一直在尝试登录我的服务器，查了一下IP地址，有广东，有俄罗斯，还找到了个葡萄牙的，基本上就确定了我服务器登不上的原因。用这个网站查的IP：https://www.ip138.com/

image.png





image.png

4.还有一个查看登录日志的命令utmpdump，这个更方便查看，来自文章2。

• /var/run/utmp（用于记录当前打开的会话）被who和w工具用来记录当前有谁登录以及他们正在做什么，而uptime用来记录系统启动时间。
• /var/log/wtmp （用于存储系统连接历史记录）被last工具用来记录最后登录的用户的列表。
• /var/log/btmp（记录失败的登录尝试）被lastb工具用来记录最后失败的登录尝试的列表。
  查看登录失败的列表，分别找到了俄罗斯和葡萄牙两个大哥21号和22号的登录IP

utmpdump /var/log/btmp


image.png





image.png

解决办法

目前我知道的东西有
1.这两个大哥的IP；
2.他们不知道我的密码；
他们在用 用户名和密码试着懵对我的信息，但是他们试就把我服务器搞瘫痪了，我想了一下禁用他两个的IP，但是细想了也不行，人家换个IP就接着搞我。
问了一下大神，可以限制多次访问失败的IP限制登录。于是就找到了文章4；

配置的过程中，发现还有个自动运行的脚本，我以前没弄过，看了一下他运行的脚本，应该没什么大问题，我就没有管他，下面有我发现的脚本，有大神可以帮忙看看是什么东西；

image.png





image.png





image.png