这几天鸡鸡被爆破,难受的一批 ,网上看了一些教程,分享给各位mjj
ubuntu和debian:
ssh成功登录记录在/var/log/wtmp和/var/log/wtmp.1(两个文件轮换记录),ssh登录失败记录在/var/log/btmpy和/var/log/btmp.1(两个文件轮换记录),都是二进制文件,直接打开显示乱码。
可通过lastb命令查看:sudo lastb -f /var/log/btmp.1
centos:
登录日志记录在/var/log/secure
查看有多少条登录失败记录:
grep -o "Failed password" /var/log/secure|uniq -c
查看都有哪些ip在爆破:
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
查看都在爆破哪些用户名:
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
防止被暴破方法:
1.修改ssh默认端口
编辑 /etc/ssh/sshd_config
找到Port 22修改为自定义未占用端口
保存配置并重启ssh服务
2.使用Public key登录,禁用passwd登录(修改/etc/ssh/sshd_config找到password 参数改为false)
3.iptables添加ip白名单
iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT
4.去控制台自行添加防火墙的ip白名单访问自定义端口
5.ssh连续错误次数设置一定时间禁止登录
在/etc/pam.d/sshd 文件中添加一行
auth required pam_tally2.so deny=AAA unlock_time=BBB even_deny_USER USER_unlock_time=BBB
其中AAA为连续登录错误次数,BBB为重置错误次数时间(单位:秒),USER改为使用的用户名
在/etc/pam.d/login 文件中同样添加该行
auth required pam_tally2.so deny=AAA unlock_time=BBB even_deny_USER USER_unlock_time=BBB
其中AAA为连续登录错误次数,BBB为重置错误次数时间(单位:秒),USER改为使用的用户名
保存文件立即生效
6.安装fail2ban
具体方法见博客,网上找的https://learnku.com/server/t/36233
博客备份https://web.archive.org/web/20221009091909/https://learnku.com/server/t/36233
...........更多方法待大佬补充
热议
推荐楼 danielzi 5小时前
补两个命令
查看用密码登陆成功的IP地址及次数
grep "Accepted password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看用密码登陆失败的IP地址及次数
grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
推荐楼 5700pgf 5小时前
用fail2ban的路过~
3楼 虎谷 5小时前
fail2ban的路过
4楼 Apvim 5小时前
fail2ban+1
登录错5次的IP只能10年后在试
5楼 Faxlok 5小时前
正则可以写的很短 \d+\.\d+\.\d+\.\d+
debian 登录成功的用last查看,登录失败用lastb
6楼 崽崽 5小时前
fail2ban路过
8楼 xctcc 5小时前
fail2ban怎么配置
9楼 昔洛z 5小时前
fail2ban怎么配置
10楼 Iap 4小时前
被爆破的都是那些用密码登录的人,还是那种简单密码。
拿到机器的一个好习惯就是编辑/etc/ssh/sshd_config关闭密码登录,仅用秘钥登录,然后再把root登录关掉,另外再开个fail2ban就无忧了
12楼 louiejordan 3小时前
改了端口+密钥登陆(关闭密码登陆),你告诉我怎么爆破?
13楼 繁星若尘 3小时前
国内机高位端口号被爆破6269316次
关了SSH清净了
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。