全球主机交流论坛

标题: 悲剧发生,ssh密码被暴力了。 [打印本页]
作者: xxx    时间: 2010-6-16 23:12
标题: 悲剧发生,ssh密码被暴力了。
服务器都是空着的,今天发现ssh登不上了。。

赶紧在其他服务器上看看,还好就一台空的服务器被暴力。密码是机房给的,自己太懒没改

然后再每台服务器上看了下。发现日志里面的ip实在多的吓人啊。。

现在给每台服务器都装Denyhosts去
作者: usa    时间: 2010-6-16 23:13
作者: qiqi13245    时间: 2010-6-16 23:14
经常的事
作者: 咯拉无米    时间: 2010-6-16 23:14
弄好了能发个Denyhosts的配置教程就太感谢了
作者: 爱吃鱼的猫    时间: 2010-6-16 23:21
  机房给的密码一般不是强度都很高么
作者: licess    时间: 2010-6-16 23:31
标题: 回复 4# 的帖子
http://www.vpser.net/security/denyhosts.html
作者: WAKAKA    时间: 2010-6-16 23:31
无聊的人真多
作者: 霸武邪皇    时间: 2010-6-16 23:37
暴力破解V5
作者: xxx    时间: 2010-6-16 23:39
服务器上的secure有很多个,按时间进行截取的,对其中的secure.1文件进行统计。
获取其中的ip地址和数量:
  1. # grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq
复制代码
检查是否支持 Tcpwrap
  1. # # ldd /usr/sbin/sshd |grep wrap
  2.         libwrap.so.0 => /lib/libwrap.so.0 (0xb7eea000)
复制代码
检查 Python的版本,Python2.3以上版本可以直接安装
  1. # python -V
  2. Python 2.4.3
复制代码
均达到要求

装好之后
运行
  1. cat /etc/hosts.deny | wc -l
复制代码
就可以看到里面有多少条禁止的记录
查看Denyhost是否在运行中
  1. ps -ef |grep deny
复制代码
附带denyhosts.cfg详解,比6楼发的更详细
  1. ----------------denyhosts.cfg--------------------------------------     
  2. SECURE_LOG = /var/log/secure   #ssh 日志文件,它是根据这个文件来判断的,如还有其他的只要更改名字即可,例如将secure改为secure.1等
  3. HOSTS_DENY = /etc/hosts.deny
  4. #控制用户登陆的文件,将多次连接失败的IP添加到此文件,达到屏蔽的作用      
  5. PURGE_DENY =      
  6. #过多久后清除已经禁止的,我这里为空表示永远不解禁
  7. BLOCK_SERVICE  = sshd
  8. #禁止的服务名,如还要添加其他服务,只需添加逗号跟上相应的服务即可
  9. DENY_THRESHOLD_INVALID = 1      
  10. #允许无效用户失败的次数        
  11. DENY_THRESHOLD_VALID = 2   
  12. #允许有效用户登录失败的次数           
  13. DENY_THRESHOLD_ROOT = 3      
  14. #允许root登录失败的次数           
  15. HOSTNAME_LOOKUP=NO      
  16. # 是否做域名反解,这里表示不做
  17. ADMIN_EMAIL = 。。。。
  18. #管理员邮件地址,它会给管理员发邮件
  19. DAEMON_LOG = /var/log/denyhosts
  20. #自己的日志文件
  21. 其他:
  22. AGE_RESET_VALID=5d     #(h表示小时,d表示天,m表示月,w表示周,y表示年)
  23. AGE_RESET_ROOT=25d
  24. AGE_RESET_RESTRICTED=25d
  25. AGE_RESET_INVALID=10d
  26. #用户的登陆失败计数会在多长时间后重置为0
  27. RESET_ON_SUCCESS = yes
  28. #如果一个ip登陆成功后,失败的登陆计数是否重置为0
  29. DAEMON_SLEEP = 30s
  30. #当以后台方式运行时,每读一次日志文件的时间间隔。
  31. DAEMON_PURGE = 1h
  32. #当以后台方式运行时,清除机制在 HOSTS_DENY 中终止旧条目的时间间隔,这个会影响PURGE_DENY的间隔
复制代码

[ 本帖最后由 xxx 于 2010-6-16 23:48 编辑 ]
作者: forgotten    时间: 2010-6-16 23:47
设置多少次错误后ban IP啊
作者: xxx    时间: 2010-6-16 23:50
标题: 回复 10# 的帖子
看9楼的配置文件
作者: vvv    时间: 2010-6-17 02:53
密码要设得多复杂才足够保险?
作者: ninjai    时间: 2010-6-17 03:38
原帖由 vvv 于 2010-6-17 02:53 发表
密码要设得多复杂才足够保险?


关掉密码登陆,直接rsa
作者: 宋兵乙    时间: 2010-6-17 06:46
生产环境下多是用证书登陆
用密码登陆太不安全了
作者: herolee    时间: 2010-6-17 08:58
还用默认端口?换了端口号,世界就清净了……
作者: yculer    时间: 2010-6-17 09:17
做几件事
1 更改默认端口
2 监听某个固定ip(服务器有不止1个ip)
3 尝试5次失败ban掉ip
作者: monface    时间: 2010-6-17 11:39
标题: 回复 16# 的帖子
具体怎么操作?
作者: 金满堂    时间: 2010-6-17 12:05
原帖由 xxx 于 2010-6-16 23:39 发表
服务器上的secure有很多个,按时间进行截取的,对其中的secure.1文件进行统计。
获取其中的ip地址和数量:# grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq检查是否 ...


请教,这条命令是做什么用的。。为什么我查到好多别的国家IP。。

难道被入侵过??

# grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq
作者: laoma348    时间: 2010-6-17 13:48
不是把 ssh密码也能被暴力?原始密码很强悍的啊
作者: herolee    时间: 2010-6-30 14:07
杯具……
作者: 炎羽    时间: 2010-7-1 00:43
这玩意太占内存了 不用
作者: netroby    时间: 2010-7-1 06:15
真疼。
作者: cnx    时间: 2010-7-1 10:35
原帖由 laoma348 于 2010-6-17 13:48 发表
不是把 ssh密码也能被暴力?原始密码很强悍的啊


同意。
初始密码一般都很强大的。
真要暴力的话,不是一般的活儿。
作者: laoma348    时间: 2010-7-1 11:33
改下SSH端口吧,改个8888



欢迎光临 全球主机交流论坛 (https://loc.010206.xyz/) Powered by Discuz! X3.4