ssh恶意攻击防范

最新推荐文章于 2024-06-28 15:07:17 发布
最新推荐文章于 2024-06-28 15:07:17 发布
阅读量4.3k 收藏 4
点赞数 3
分类专栏: linux 工具使用 syslog 文章标签: ssh2 破解 插件 ssh
linux 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
工具使用
9 篇文章 0 订阅
订阅专栏
syslog
1 篇文章 0 订阅
订阅专栏

ssh恶意攻击防范

今天遇到了一个问题,布好了cacti之后使用了syslog插件,然后发现自己的搜集的系统日志中包含了很多的
Failed password for root from 183.3.202.190 port 47805 ssh2,
这时因为自己的主机被别人远程使用ssh暴力破解密码,以前没有注意到过这种事情,但是发生了还是去了解了下防范的方法

1.修改ssh登录用户以及端口

这时最简单的方式,修改过程如下:
1.首先,禁用root 远程登录,改ssh端口
2.创建一个普通用户用作远程登录,然后通过su -转为root 用户
3.改到偏远的端口(从20 扫到 36301)
4重启ssh服务

$ vi /etc/ssh/sshd_config

PermitRootLogin no #禁用root 登录
Port 36301 #

$ /etc/init.d/sshd restart

2.封锁ip

封锁所有ip

$ vi /etc/hosts.deny

sshd:all:deny 
#拒绝所有的ip访问主机ssh服务

设置允许ip

$ vi /etc/hosts.allow

sshd:210.13.218.*:allow
sshd:222.77.15.*:allow
#以上写法表示允许210和222两个ip段连接sshd服务

重启xinetd服务

$ service xinetd restart

3. SSH禁止10分钟内登陆失败次数多的IP地址

首先感谢下作者的分享,原文地址.
创建sh脚本

$ vim /usr/local/cron/ssh_scan.sh

添加如下内容

#!/bin/bash
# Script: /usr/local/cron/ssh_scan.sh
# Author cnscn <http://www.redlinux.org>
# Date: 2012-05-11

export LC_ALL=UTC

#扫描10分钟内的登陆失败的IP
SCANNER=$( tm=$(date -d '10 minutes ago' +"%h %d %H") && \
             awk -v tm="$tm" ' $0 ~ tm &&  /Failed password/ && /ssh2/ { print $(NF-3) ; } ' /var/log/secure \
           | sort \
           | uniq -c \
           | awk '{print $1"="$2;}' \
        )

for i in $SCANNER
do
    #截取IP与数量
     IP=`echo $i|awk -F= '{print $2}'`
    NUM=`echo $i|awk -F= '{print $1}'`

    #数量大于8次,则使用iptables禁止IP
    if [ $NUM -gt 8 ]
    then
        iptables -vnL | grep DROP | grep $IP &>/dev/null
        [ $? -eq 0 ] || /sbin/iptables -I INPUT -s $IP -j DROP
        echo "`date` $IP($NUM)" >> /var/log/scanner.log
    fi
done
#End of Script

设置文件可执行

chmod 777 /usr/local/cron/ssh_scan.sh

设置定时任务文件

$ vim /etc/cron.d/ssh-scan

设置定时任务内容

*/10 * * * * root /usr/local/crontab/ssh_scan.sh

重启定时任务

$ service crond restart
a948099144
关注
专栏目录
阿里云服务器使用教程:Linux上预防SSH暴力破解恶意登录软件DenyHost的安装教程
蓝多多的小仓库
03-30 875
目录1、前言2、DenyHosts简介3、安装与启动4、参数简介5、可能报错 近期发现每天都会有多条SSH登录失败纪录,一查IP发现几乎都是国外IP(如图),它们试图猜测SSH登录口令来恶意登录自己的服务器。因此为了服务器安全,需将这些IP自动加入到/etc/hosts.deny文件中。 DenyHosts是Python语言写的一个程序软件,运行于Linux上预防SSH暴力破解的,它会分析sshd的日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/et
锐捷交换机设备对网络攻击防范
06-18
DHCP攻击则是利用了DHCP服务中的缺陷,通过恶意DHCP响应包来占用网络中的IP地址资源,或是分配错误的IP地址信息给其他网络设备。 IP/MAC欺骗攻击结合了IP地址和MAC地址的欺骗,使攻击者可以伪装成网络中的合法用户...
SSH攻击解决方法
03-25
发现自己的LINUX服务器的数据库老是被莫名奇妙地删除,以及发现服务器日志有很多尝试连接失败的日志,网上查了才知道是SSH攻击。据说Fail2Ban很好用,分享一下
防御暴力破解SSH攻击
Jimmy_Lee
03-08 4163
托管在IDC的机器我们通常都用SSH方式来远程管理.但是经常可以发现log-watch的日志中有大量试探登录的 信息,为了我们的主机安全,有必要想个方法来阻挡这些可恨的"HACKER" 有很多办法来阻挡这些密码尝试 1 修改端口 2 健壮的密码 3 RSA公钥认证 4 使用iptables脚本 5 使用sshd日志过滤 6 使用tcp_wrappers过滤 7 使用kno
别让黑客轻易入侵:端口敲门,让你的SSH固若金汤!
最新发布
didiplus
06-28 1507
端口敲门(Port Knocking)是一种安全措施,它通过在防火墙上动态打开端口来允许合法用户访问受保护的服务。具体来说,端口敲门技术要求用户在尝试连接到SSH服务之前,按照预定义的顺序访问一系列隐藏端口。这种技术通过在网络层添加额外的验证步骤,有效地隐藏了实际的服务端口,并减少了被暴力破解的风险。
ssh 攻击的发现以及预防
NickACM的专栏
07-10 691
  "HACKER" 利用 ssh攻击的目的是想暴力破解服务器的密码,然后控制你的服务器。通常可以从以下两种方式发现: 1.假如你的服务器突然间一直ssh连接失败,但多次尝试,偶尔还能连接上. 2.系统日志里面有大量的验证失败的ssh连接请求. ubuntu系统是在/var/logs/auth.log里面. 如何进行简单预防: 1.禁用root帐号访问ssh 做法:只要在/etc/s...
ssh的防御办法
kathy2010的专栏
04-22 553
SSH 相信大家都知道,也就是Secure Shell,是LINUX下的字符传输控制台。好比telnet,但是telnet是明文传输,ssh是加密了以后的传输格式。但是即使是这样也避免不了那些居心否测的人来测试你的密码和帐号,造成下面的攻击,分析一下你的日志,对比一下下面的!pr 17 16:14:41 DnProxy sshd[3111]: Failed password for root
安全基础 基于SSH恶意登录攻击分析
10-10 1862
绍  近几年,在一些网络日志中出现了大量的基于SSH恶意登录的攻击记录。本文将利用蜜罐(honeypot)陷阱对这类攻击进行分析,最后,本文提供了一些关于如何防范这类攻击的建议。  蜜罐的使用方法研究  位于新西兰的Honeynet联盟的分支机构:新西兰Honeynet联盟,主要致力于通过蜜罐技术来研究黑客的行为,攻击方法以及他们所使用的工具,从而改善网络和计算机系统的安全。蜜罐本身
使用Fail2Ban防范SSH暴力破解攻击
# 1. SSH暴力破解攻击简介 ... 攻击者的目的通常是获取服务器的控制权,以进行恶意活动,比如窃取敏感信息、发起DDoS攻击或者植入后门等。而他们的手段通常是通过暴力破解不断尝试密码,直到登录成功或达到尝
MySQL数据库安全最佳实践:防范数据泄露与恶意攻击,保护数据库安全
[MySQL数据库安全最佳实践:防范数据泄露与恶意攻击,保护数据库安全](https://www.sqlshack.com/wp-content/uploads/2016/12/Image_1a.png) # 1. MySQL数据库安全概述** MySQL数据库安全对于保护数据免遭泄露和...
单片机交通灯程序安全保障:防范恶意攻击,确保交通安全
[单片机交通灯程序安全保障:防范恶意攻击,确保交通安全](https://s.secrss.com/anquanneican/61cacb212de4db4ae9f1742f745b9615.png) # 1. 单片机交通灯程序概述** 单片机交通灯程序是单片机系统中负责控制交通灯...
SSH安全防护
杨柳升
09-25 772
SSH 用于安全访问远程服务器的协议 工作原理 .ssh :存放秘钥文件 authorized_keys:秘钥验证验证文件,存放秘钥 id_rsa:秘钥对私钥 id_rsa.pub:秘钥对公钥 /etc/ssh/sshd_config:ssh配置文件 ssh-keygen //生成密钥对 //默认采用RSA加密,-t rsa或-t dsa制定加密算法 ssh-copy-id 用户名...
SSH运维与攻击防御
m0_50865437的博客
03-08 288
将kali和rhel都设置在NAT模式,在同一网段 Kali与rhel可以相互ping通 如果ping不通,要关闭防火墙,关闭安全机制,rhel和kali都要关闭防火墙 3. 检索rhel7系统是否有ssh服务用命令:rpm -qa | grep ssh(rpm:软件包管理器) 检查后如果没有openssh软件要进行安装,需要配置yum源,cd /etc/yum.d在该目录创建文件rhel7.repo编写内容 配置yum源 文件名.repo 里面书写的内容 [name] baseurl.
Linux shell-禁止恶意ssh连接
weixin_57041250的博客
11-02 308
SSH 常用远程连接,方便管理员或有权限的用户去操作。但也有可能会受到他人恶意攻击,如进行用户密码爆破。对此,我们要进行防范
Linux云服务器防止暴力破解(三道SSH安全策略)
云之君若雨的博客
02-05 2299
新购入的服务器,往往用户名默认为root,ssh默认开放22端口,且配置SSH服务时往往同时允许密码和公钥二重登录。然而,许多非法服务器运行着暴力破解程序,通过访问用户名root的22默认端口,暴力获取获取您的服务器密码。因此,不安全的默认配置会给您带来巨大风险。博主以自己的CVM配置为例,列出三道安全策略。
讲述ssh服务攻击案例及事件分析
05-19 134
修改中 本文出自 “李晨光原创技术博客” 博客,谢绝转载! 转载于:https://www.cnblogs.com/chenguang/p/3742285.html
一种SSH暴力攻击的应对方案
09-22 433
今天突然发现公司服务器遭到非常密集的SSH暴力攻击,开始的时候使用手动的方式将攻击方的IP地址添加防火墙过滤规则中。但是有发现攻击者IP地址不断发生变动。如果这样下去,就是有100个手来不及添加过滤规则。因此不才在这种压力之下,灵机暗动,计上心来。 何不整一个能够自动检查攻击的IP地址,并将攻...
记服务器被 ssh-scan 攻击
小雨转晴的专栏
12-21 2158
解决办法: 点击查看原文 另外,除此之外,更苦恼的是系统命令像top, 都不能用,其他有的各种问题, 最后终于发现是被入侵的时候 系统命令文件好多被加了“隐藏属性” root@ubuntu3:/usr/bin# lsattr | grep "^s" s---ia------------ ./md5sum.textutils s---ia---------
ssh认证的流程与攻击防范
gediseer的博客
01-17 8778
在使用git的远程推送功能时,常用ssh协议连接远程服务器, ssh协议的使用免去了每次连接都要输入用户名,密码的麻烦,通过实现存放在远程主机的公钥与存放在本地的私钥的配对确定请求者的身份。 Ssh认证的流程: -------------------------------协商阶段--------------------------------- 客户端向服务端发送连接请求,服务端监听22端
Redis未授权访问与SSH key利用分析
本文主要讨论了Redis未授权访问配合SSH key文件利用的安全风险,讲述了Redis的默认设置如何可能导致服务...运维人员应遵循最佳实践,对Redis服务进行严格的访问控制和监控,以防止恶意攻击者利用这些漏洞进行非法活动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值