今天登录云主机，查看登录日志 lastb 发现 ssh又被暴力破解，使用 wc -l 统计，发现 在一天的时间被测试了17000多次。

还好我的密码够复杂，这种事情似乎 越来越频繁了。。

关于 Linux 命令 last 和 lastb 是非常有用的2个 命令，它们能够列出目前与过去登陆过系统的相关的登录信息。

last 指令，它会读取 /var/log/wtmp文件，将ip 登录者的ip 显示出来，而 lastb 则则读取 /var/log/btmp显示 登录不成功的，上面的截图就是 lastb 然后 用 wc -l 统计了一下，可以 看到 登录时间密集，且登录ip 也在变化。

last/lastb 的记录项，第一列为 登录者用户名 第二列 为登录方式一般为 ssh/telnet

，后面的notty 应该指的是 pts/0,就是使用软件登录终端，第三列是 登录的ip ，有可能是真实的肉鸡ip ，也可能是 伪造的ip ，若能及时使用tcpdump抓包，通过 ttl 、窗口大小，就能判断。

若是 日志文件太大了，则可以 用 echo > /var/log/wtmp(btmp) 清除即可。

最后说道说道被暴力破解登录密码，很难彻底阻止，但是可以 增加它的难度，比如这个 ssh吧，首先 ，可以 关掉ssh软件 root 登录权限，使用普通用户，然后 改掉默认的22端口，最后，可以 把密码 搞的又长又难，被暴力破解几乎不可能，除非黑客有足够的耐心可以等很久。。