刚买没多久的腾讯云主机被暴力破解

最新推荐文章于 2022-11-16 11:13:04 发布
最新推荐文章于 2022-11-16 11:13:04 发布
阅读量1.7k 收藏 5
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/majiangNB/article/details/113177056
版权

背景:刚买的腾讯云主机10天左右,昨天登录后偶然查看了下/var/log/secure安全日志,发现一大堆登录失败的记录就怀疑是被暴力破解,吓宝宝一跳,只是买来学习而已又没有业务。只能说这帮黑客太disgusting。

1.首先查看了下/var/log/secure,然后查询这个ip地址发现是美国的,且短时间内有多次登录

 

2.通过awk对日志分析发现不止这一个ip地址,由于太多了只复制了部分上来,还好都没破解成功。

~]#  awk '/Failed/{ip[$(NF-3)]++}END{for (i in ip) print ip[i],i}' /var/log/secure | sort -nr
1128 159.65.192.210
991 114.67.86.183
664 142.93.150.230
652 104.236.9.214
611 188.166.12.220
587 167.99.33.251
575 104.248.198.109
534 163.172.234.207
332 68.183.192.26
327 46.101.131.85
291 128.199.221.55
275 77.39.117.226
259 163.172.234.206
253 45.64.130.147
242 139.59.154.63
229 85.73.194.21
222 167.99.47.193
185 39.107.179.243
185 121.201.57.230
182 163.172.234.210
180 90.3.211.202
180 85.203.174.27
180 73.215.122.31
180 71.72.234.20
180 69.4.135.70
180 184.90.175.92
180 134.255.126.237
180 12.199.218.242
180 1.159.0.163
180 107.10.73.181
173 45.141.84.10
167 163.172.234.208
154 103.248.31.50
141 114.67.254.244
139 112.91.109.103
136 167.86.116.12
134 76.6.254.175
133 98.125.80.113
133 97.120.47.41
133 75.175.213.247
133 75.170.237.201
133 75.167.191.201
133 75.165.78.178
133 75.165.160.121
133 75.164.5.132
133 75.163.25.241
133 75.121.9.18
133 71.38.89.209
133 71.222.56.107
133 71.222.168.202
133 71.221.223.89

 

3.解决方案

第一步立即改了sshd监听的端口号,然后重启服务sshd服务

~]# cp /etc/ssh/sshd_config{,.ori}   #修改前先行备份操作
~]# grep Port /etc/ssh/sshd_config
#Port 22
Port 52136
#GatewayPorts no
~]# systemctl restart sshd

第二步,在做了第一步操作后再观察/var/log/secure发现暴力破解已经停了,但细想了一下还是不安全我于是又做了如下操作,

禁用root登录,但往往学习中需要使用管理员权限,所有又创建了一个普通用户,通过sudo提权为管理员

~]# useradd jason
~]# useradd jason 
~]# passwd jason     #给普通用户设置密码
Changing password for user jason.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

~]# visudo           #命令修改,提权操作
jason  ALL=(ALL)       NOPASSWD:ALL    #大概在100行的位置添加后保存


~]# sed -i  's@#PermitRootLogin yes@PermitRootLogin no@' /etc/ssh/sshd_config    #禁止root用户登录
~]# grep PermitRoot /etc/ssh/sshd_config
PermitRootLogin no
~]# systemctl restart sshd  #重启服务,此时断开连接后再用root就登录不上了,需要用前面创建的用户密码和自己修改后的端口连接。

第三步,通过自己创建的账号密码和正确的端口登录,这个普通账号其实跟root权限一样。

[jason@VM-0-9-centos ~]$ sudo -l 
Matching Defaults entries for jason on VM-0-9-centos:
    !visiblepw, always_set_home, match_group_by_gid, always_query_group_plugin, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES",
    env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY",
    secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin

User jason may run the following commands on VM-0-9-centos:
    (ALL) NOPASSWD: ALL
[jason@VM-0-9-centos ~]$ sudo ls /root
ip.txt

 

 

 

总结:修改sshd服务端口,禁用root通过账号密码登录,创建普通用户设置提权成管理员。

(也可以自己写脚本过滤出/var/log/secure超过3次登录失败的ip通过Linux防火墙给禁用,我这里只是买来学习用的,防火墙默认也是禁用的,没有什什么业务,且后续也没有暴力破解了,所有没做。)

 

ps:要是为了更安全可以直接使用证书登录,禁用账号密码登录上去

马江的博客
关注
专栏目录
腾讯云服务器被攻击我是这样应对的
qq_50805795的博客
04-02 6715
先上图 (恶意篡改密码) (恶意登录) 我只是想简单地把web前端地作业上传到云服务器上展示,但是没想到还能被攻击(欲哭无泪)。被恶意登录后,导致访问我的网站时,链接页面时出错,要么图片加载不出来,要不就是直接网站无法访问(我只是个普普通通的学生,注册个服务器交个作业而已,但是没想到这都能被当作靶机,生气!!!) 好吧,但是作业还是要做展示,欸,又要重装系统 还是装Centos 7.6的系统,重装成功后,先修改密码【请设置一个无敌超级复杂的密码吧,起码别是含12345这种暴力破解一百多次.
解决云主机弱口令问题和暴力破解风险的最佳实践
qq_38452708的博客
02-14 1568
在针对云上主机的安全事件中,有近一半的比例是关于主机账号的攻击行为,即俗称的弱口令攻击和暴力破解,每年由这类攻击引发的勒索行为、挖矿行为给云上租户带来巨大的损失。 据部分行业媒体报导,近年来由弱口令引发的安全事件占到总数的一半以上,并且有逐年上升的趋势。而研究机构预测在2021年在全球范围由勒索病毒和挖矿病毒引发的经济损失预估将超过300亿美元。 这两类问题本质上都是由不安全的身份认证凭据引起的。 这篇文章将提供三种简单有效的解决方案帮助您解决弱口令和操作系统账号暴力破解的风险。 方案一 加固操作系统账号
腾讯云遭受爆破攻击(记录)
qq_46664420的博客
09-02 1212
当用户被(deny)拒绝3次,(unlock)上锁时间300s 甚至拒绝root,root上锁时间#300s。lastb -f /var/log/btmp.1 (猜测可能是扩展或者全部日志吧)接下来我们可以把home/ubuntu/.ssh/authorized_keys。last -f /var/log/wtmp 可疑IP登录日志。lastb -f /var/log/btmp 登录失败的日志。只要错误3次,此后300秒内无论密码输入正确与否都是登录失败。查看登录失败日志,可以看到大量的弱口令攻击。
腾讯云三天三次被暴力破解,究竟是人性的泯灭还是道德的沦丧!
weixin_42484270的博客
05-28 1355
课程是慕课网的Python Flask构建微信小程序。花钱买了,那就好好学习,记录一下。 ** 小程序申请流程 ** 官方申请地址:https://mp.weixin.qq.com/cgi-bin/wx
自己的云服务器账户被ssh暴力破解
Yonggie的博客
02-02 1002
今天收到短信说自己的服务器账户被暴力破解了。 可以参考 https://www.cnblogs.com/xincanzhe/p/8906251.html
云服务器被暴力破解如何处理?
tencentxueli的博客
06-25 1657
若云服务器被暴力破解成功,需尽快排查机器上的异常并进行处理: 排查机器中的账户是否存在弱口令,修改口令强度较弱的密码或采用密钥的方式进行登录,同时可通过设置安全组等方式降低被暴力破解的风险。 主机安全已上线暴力破解阻断功能,可进行有效拦截。 ...
记一次云服务器被密码爆破的经历——关小黑屋、改密码、改端口
阿杆的博客
06-30 2043
当我登录时看到这条警告,我意识到我的服务器可能正在被爆破于是我马上通过指令 查询了登录失败的记录,输出结果令我大为震惊,大概刷新了五六秒?可能更多,登录记录显示,从本月的1号开始,到现在我写这篇博客,整整一个月,都一直有人在尝试登陆我的服务器。。。这些ip都是来自国外的,且攻击者目前还在尝试爆破,说明他可能还没有登录成功,于是我输入last指令,查看登录成功的ip:然后我把这些ip都查询了一遍,没有发现异常ip(这里都是我的ip,我就打码了)。到这,我暂时可以确定,攻击者还没有登录上我的服务器,那就不着急
腾讯云CVM&Linux CentOS 7 防止暴力SSH登录实践
小灯光环
05-29 1932
关于Liunx CentOS 7防止恶意SSH登录的解决方案
多维度分析对比腾讯云服务器和阿里云服务器
AMtcsdn的博客
10-31 1192
多维度分析对比腾讯云服务器和阿里云服务器 云服务器具有维护成本低,安全稳定,高可扩展性和 7 X 24 小时的售后支持的优势,因此云服务器成为中小企业建站的首要选择。国内的云服务器竞争中最具优势的是腾讯云和阿里云这两家公司。下面我们从几个维度分析腾讯云和阿里云服务器的各自有缺点。 1.创立时间 阿里云比腾讯云相对起步较早,阿里云创立于2009年,是国内最早提出云计算的公司,也是全球第三的云计算品牌。 腾讯云2010年12月云服务器、云监控上线、华南区(广州)数据中心开放,2013年9月腾讯云全面开放。 2
一次腾讯云centos服务器被入侵的处理
a18131120314的博客
08-31 1050
  昨天一大早,我还没到公司呢,就收到腾讯云安全中心发来的服务器异常登录告警,登录控制台一看,ip还是美国的,一脸懵逼。由于本人之前也没有过处理服务器入侵的经验,而且这台服务器目前还没有部署商用系统,所以也就没怎么在意,照着云安全中心提示的可疑文件的位置,将其删除,就这样交差了。其实我知道这样肯定是不行的,但是确实很烦去处理这种事情。果然,下午又收到了告警。这是公司的电脑,老板很在意,刚...
腾讯云服务器天天被ddos恶意攻击
最新发布
weixin_71114441的博客
11-16 1424
大家都知道,腾讯云服务器是除了阿里云之外用户基数最多的云服务器商,当然也就会有不少的ddos等恶意攻击啦,所以今天就给大家讲讲腾讯云服务器天天被攻击怎么办 • 实现与边缘路由器之间的速率限制。这将限制每个IP可以做的损害。 • 如果可能,利用上游路由协议(例如BGP)来指示您的ISP在到达边缘之前阻止IP。 • 实施区域阻止 - 按地区查找最大的合法客户群,并阻止所有其他区域。 • 减少 Web 服务器级别和操作系统级别的打开连接的超时限制。此外,如果
腾讯云上mysql被攻击后如何处理,如何正确安装mysql
qq_45312436的博客
11-04 791
说在最前面,我也是初学者,可能有些操作不太正确,欢迎提出指导 前言:在腾讯云linux上安装了mysql,出现了几次数据库被删,并留下了一个warnning表,里面留的信息是叫我给它bitcoin它才把数据还给了,我***,我的数据真那么值钱还会被你删。。并且它把我的mysql数据库用户权限给弄无了,我一个root用户连mysql的用户表都看不了。 最后只好重新安装,并且好好设置一番。 被黑原因:密码太简单, 为了图方便给用户 配置了 % 一、卸载 rpm -qa | grep mysql 用以下命.
使用“暴力“方法防止云服务器被暴力密码破解
热门推荐
大饼不会飞的博客
07-15 18万+
使用暴力方法防止云服务器被暴力密码破解 最近在用腾讯云的云服务器给Minecraft建立游戏服务器,但是发现服务器经常会有网络卡顿,在几经排查后发现原来是服务器一直在被人暴力密码破解,在这里便留下一个暴力方法(关闭远程端口)防止被暴力破解心得望能帮助到各位。 安全日志审查 如果想检查自己的云服务器是否正在被暴力密码破解,可以从事件查看器的安全日志中获得相关信息。经过具体检查,发现对方很鸡贼,每一次的登陆ip都是不同的,一般的ip屏蔽方法不太适用。 反暴力破解 由于是云服务器,无法更改用户名(Adminis
腾讯云服务器被黑客攻击的解决办法
11-12 2701
腾讯云服务器被黑客攻击的解决办法
腾讯云服务器使用ssh密钥登录--个人常遇到问题均解决
acwing的博客
11-22 4067
什么是SSH密钥对 SSH密钥是一种无须密码登录Linux实例的认证方式。 通过加密方法生成一对SSH密钥,一个对外公开密钥,成为公钥,一个由您保密保存,称为私钥。 将公钥存放于您的Linux实例中,私钥存放在本地机器中,即可使用SSH命令进行远程连接。 相较于用户名和密码认证方式,使用 SSH 密钥有以下优势: ** 1 SSH 密钥登录认证更为安全可靠,可以防止暴力破解威胁。** ** 2 SSH 密钥登录方式更简便,只需在控制台和本地客户端做简单配置即可远程登录实例,再次登录时无需再输入
服务器加固:记录服务器被暴力破解密码,被当做肉鸡攻击别人
石宗昊的博客
11-08 1481
我之前的ssh端口是默认的22,然后应该是被爆破了。发现了满屏的端口扫描信息,心理大概有个底了。11月7日晚,收到了腾讯云的告警信息。然后我就进行了如下操作进行系统加固。
阿里云windows主机被尝试暴力破解解决方案
一杯咖啡的渗透记忆
12-13 4617
近期机器被异常登陆暴力破解,虽然目前没发生被破现象,但是查看安全日志貌似一直在攻: 让运维看了一下,发现这台机器的安全策略里面的8888端口是全网通的: 让运维将8888端口做了内网限制后,这个问题就没再出现。   一句话,端口的开放的IP地址能限制到公司内部就公司内部,如果外部确定要用的,要指定好外部Ip地址。  ...
由STGW下载慢问题引发的网络传输学习之旅
腾讯技术工程
12-26 2731
导语:本文分享了笔者现网遇到的一个文件下载慢的问题。最开始尝试过很多办法,包括域名解析,网络链路分析,AB环境测试,网络抓包等,但依然找不到原因。然后利用网络命令和报文得到的蛛丝马迹,结...
腾讯云服务器购买与应用实战指南
"腾讯云产品实用知识库分享.pdf" 本文档是关于腾讯云产品的实用知识库,涵盖了多种主题,旨在帮助用户更好地理解和使用腾讯云服务。以下是其中的关键知识点: 1. **学生优惠**:对于25岁以下的学生,腾讯云提供了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值