各位老友们好，我是 Chlorine。本来打算鸽一段时间，等备案完成再水文，但是没办法，键盘不允许（键盘：关我什么事）。

昨天闲着没事又去看我的服务器，偶然打开了 1Panel 面板的 SSH 登录日志，结果不看不知道，一看吓一跳……

我简单看了下，大部分的攻击都是来自海外的（也有国内的，我就不说是哪个地方的了）。攻击的 IP 高度重复，手段主要集中于使用 root 进行登录，以及尝试蒙用户名。幸亏我的机器除了 root 拢共就我一个用户（系统自动生成的除外），而且只有我能 SSH 登录，不然可能还真就叫人钻空子了。

然后我就坐在那想，越想越气。欺负人都欺负到我小氯头上了，这已经不是一般的虫豸了，必须要出重拳！

于是我写了个简单的脚本：

#!/bin/bash

LOG_DIR=/var/log

OUTPUT_FILE=/home/yoghurtlee/chongzhi.txt

# 方便审查
LOGIN_RECORD_FILE=/home/yoghurtlee/chongzhi_jilu.txt

> $LOGIN_RECORD_FILE

for log_file in $LOG_DIR/auth.log*; do
    if [[ -f "$log_file" ]]; then
        grep "Invalid user" "$log_file" >> $LOGIN_RECORD_FILE
    fi
done

grep "Invalid user" $LOGIN_RECORD_FILE | awk '{print $10}' | sort -u > $OUTPUT_FILE

然后赋予可执行权限：

chmod +x chongzhi.sh
./chongzhi.sh

获得了一群 IP。全都加到 1Panel 里面 Fail2ban 的黑名单里面，杜绝其访问我的一切服务。

然后我又写了个定时任务，监控所有尝试用 root 登录的 IP，一旦发现直接永久封禁。你们这帮攻击者给我老实呆着，看我派 Fail2ban 来把你们一个一个送上天！

然后的话……其实我也没什么好办法了。封禁已经是我能想到的最好的防范措施了，总不能拿我的服务器去反向攻击它们吧。