openwrt 处理 ssh 暴力破解

已于 2022-02-15 13:04:14 修改
阅读量2.7k 收藏 4
点赞数
分类专栏: Linux 文章标签: openwrt ssh 攻击
于 2020-10-22 09:17:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sean908/article/details/109214848
版权

参考链接(已失效): OpenWRT固件拒绝SSH/Luci密码破解攻击脚本 OpenWRT被SSH攻击怎么办?

先上代码

#!/bin/ash

## OpenWRT 版本判断
Vfile=/etc/banner
OWTV=`awk 'BEGIN{IGNORECASE=1}/openwrt/ {split($2,v,"."); print v[1]}' $Vfile`
[[ $OWTV -lt 18 ]] && echo "OpenWRT version must be >= 18" && exit 1

## 黑名单所在iptables链表
ChainName=DenyPwdHack

## 日志路径
LOG_DEST=/tmp/DenyPwdHack.log

## 检测到攻击时需要针对攻击IP封禁的端口,可以将ssh/luci/ftp等端口加上
Deny_Port="22,443"
INPUT_RULE="INPUT -p tcp -m multiport --dports $Deny_Port -j $ChainName"

## 日志关键字,每个关键字可以用"|"号隔开,支持grep的正则表达式
## 注: SSH 攻击可以大量出现四种关键字:Invalid user/Failed password for/Received disconnect from/Disconnected from authenticating
##     Luci 攻击可以出现"luci: failed login on / for root from xx.xx.xx.xx"
LOG_KEY_WORD="auth\.info\s+sshd.*Failed password for|luci:\s+failed\s+login|auth\.info.*sshd.*Connection closed by.*port.*preauth"

## 白名单IP可以用"|"号隔开,支持grep的正则表达式
exclude_ip="192.168.|127.0.0.1"

## 失败次数
Failed_times=5

## 黑名单过期时间,单位小时,3个月2160小时
BlackList_exp=2160

## 日志时间
LOG_DT=`date "+%Y-%m-%d %H:%M:%S"`

## 判断链是否存在
iptables -n --list $ChainName > /dev/null 2>&1
if [[ $? -ne 0 ]] ; then
  iptables -N $ChainName
  echo "[$LOG_DT] iptables -N $ChainName" >> $LOG_DEST
fi

## 判断INPUT跳到链的规则是否存在
iptables -C $INPUT_RULE > /dev/null 2>&1
if [[ $? -ne 0 ]] ; then
  iptables -I $INPUT_RULE
  echo "[$LOG_DT] iptables -I $INPUT_RULE" >> $LOG_DEST
fi

DenyIPLIst=`logread \
  | awk '/'"$LOG_KEY_WORD"'/ {for(i=1;i<=NF;i++) \
  if($i~/^(([0-9]{1,2}|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]{1,2}|1[0-9]{2}|2[0-4][0-9]|25[0-5])$/) \
  print $i}' \
  | grep -v "${exclude_ip}" \
  | sort | uniq -c \
  | awk '{if($1>'"$Failed_times"') print $2}'`
IPList_sum=`echo "${DenyIPLIst}" | wc -l`
if [[ $IPList_sum -ne 0 ]];then
  for i in ${DenyIPLIst}
    do
    iptables -vnL $ChainName | grep -q $i
    [[ $? -ne 0 ]] && iptables -A $ChainName -s $i -m comment --comment "Added at $LOG_DT by DenyPwdHack" -j DROP \
     && echo "[$LOG_DT] iptables -A $ChainName -s $i -j DROP" >> $LOG_DEST
    done
fi

## 黑名单过期删除
ChainList=`iptables --line-numbers -nL $ChainName |\
  awk '/Added at/ {for(i=1;i<=NF;i++) if($i~/[0-9]{4}(-[0-9]{2}){2}/) print $1","$i" "$(i+1)}' |\
  sort -rn`

## 链表必须从后端删除,如果从前端删除,后端的实际rulenum会变
ChainList_num=`echo "${ChainList}" | grep -v "^$" | wc -l`
if [[ ${#ChainList} -ne 0 ]] && [[ $ChainList_num -gt 0 ]] ; then
for tl in `seq 1 $ChainList_num`
do
  Dtime=`echo "${ChainList}" | sed -n ''"$tl"'p' | awk -F, '{print $2}'`
  Stime=`date -d "$Dtime" +%s`
  Ntime=`date +%s`
  if [[ $(($Ntime - $Stime)) -ge $(($BlackList_exp * 3600)) ]] ; then
    RuleNum=`echo "${ChainList}" | sed -n ''"$tl"'p' | awk -F, '{print $1}'`
    iptables -D $ChainName $RuleNum
    if [[ $? -eq 0 ]] ; then
      echo "[$LOG_DT] iptables -D $ChainName $RuleNum" >> $LOG_DEST
    else
      echo "[$LOG_DT] execute delete failed: iptables -D $ChainName $RuleNum" >> $LOG_DEST
    fi
  fi
done
fi

过气代码

ChainName=DenyPwdHack
SSH_PORT=22
Luci_Port=443
LOG_DEST=/tmp/DenyPwdHack.log
INPUT_RULE="INPUT -p tcp -m multiport --dports $SSH_PORT,$Luci_Port -j $ChainName"
## 日志关键字,每个关键字可以用"|"号隔开,支持grep的正则表达式
LOG_KEY_WORD="auth\.info\s+sshd.*Failed password for|luci:\s+failed\s+login"
## 白名单IP可以用"|"号隔开,支持grep的正则表达式
exclude_ip="192.168.|127.0.0.1"
## 失败次数
Failed_times=10

## 判断链是否存在
iptables --list $ChainName > /dev/null 2>&1
if [[ $? == 1 ]] ; then
	iptables -N $ChainName
	echo '['`date +%Y%m%d_%H:%M:%S`'] '"iptables -N $ChainName" >> $LOG_DEST
fi

## 判断INPUT跳到链的规则是否存在
iptables -C $INPUT_RULE > /dev/null 2>&1
if [[ $? == 1 ]] ; then
	iptables -I $INPUT_RULE
	echo '['`date +%Y%m%d_%H:%M:%S`'] '"iptables -I $INPUT_RULE" >> $LOG_DEST
fi

DenyIPLIst=`logread \
	| awk '/'"$LOG_KEY_WORD"'/ {for(i=1;i<=NF;i++) \
	if($i~/^(([0-9]{1,2}|1[0-9][0-9]|2[0-4][0-9]|25[0-5])\.){3}([0-9]{1,2}|1[0-9][0-9]|2[0-4][0-9]|25[0-5])$/) \
	print $i}' \
       	| grep -v $exclude_ip \
	| sort |uniq -c \
	| awk '{if($1>'"$Failed_times"') print $2}'`
IPList_sum=`echo $DenyIPLIst | wc -l`
if [[ $IPList_sum -ne 0 ]];then
    for i in $DenyIPLIst
	do
	iptables -C $ChainName -s $i -j DROP > /dev/null 2>&1
	[[ $? -eq 1 ]] && iptables -A $ChainName -s $i -j DROP \
	&& echo '['`date +%Y%m%d_%H:%M:%S`'] '"iptables -A $ChainName -s $i -j DROP" >> $LOG_DEST
	done
fi

具体操作

以 root 身份登录

cd /root

保存上面的代码为 DenyPwdHack.sh

chmod u+x DenyPwdHack.sh

最后在 crontab 中加一条计划任务

0 */3 * * * /root/DenyPwdHack.sh

以下内容为原创, 2021年7月1日更新

直截了当法

防火墙直接对外网访问ssh服务端口的请求进行一个弃的丢

2022/02/15更新

目前使用 OpenWrt开启密钥验证 + ipset封锁恶意IP 方式

sean908
关注
专栏目录
SSH入侵事件日志分析和跟踪
weixin_44023460的博客
12-26 859
1.1SSH入侵事件日志分析和跟踪 simeon 1.1.1实验环境 1.环境配置 (1)IP地址。两台Kali Linux服务器,被攻击服务器A:IP地址为192.168.106.135,攻击服务器B:IP地址为192.168. 106.135 (2)服务器A用户: 2.添加用户及设置密码 (1)服务器A添加用户: useradd simeon -s /bin/bash useradd hacker -s /bin/bash useradd antian365 -s /bin/bash (2)设置密码,使
fail2ban 防止暴力破
互联网老辛
05-14 2898
本测试需要的环境: 1)系统: centos7 2) python 版本大于2.4 具体操作步骤: 1. 编译安装fail2ban需要从官网下载包,解压安装即可 2.使用yum安装fail2ban [root@zmedu63 ~]# yum -y install epel-release [root@zmedu63 ~]# yum -y install fail2ban 3...
通过设定OpenSSH账户登录 避免恶意攻击
12-05 483
导读:   前面我们讨论了如何《保护SSH免受强力口令破解攻击》。今天继续讨论如何限制用户的登录。OpenSSH包括许多用途广泛的并且十分流行的程序。无论是作为客户端或服务器,其广泛性和SSH的实用性,无疑都使SSH成为一些公共的攻击目标。由此导致的结果是,人们开发了许多工具用以对付一些常见的强力攻击企图。   然而,这些攻击不仅仅会转换为一种恼人的东西,更是一种对日志文件空间的浪费。对于
Openwrtssh
最新发布
szembed的博客
07-26 114
一、 sshOpenSSHSSH协议的免费开源实现。OpenSSH提供了服务端程序(openssh-server)和客户端工具(openssh-client)。默认采用Dropbear软件来实现ssh协议。
OPENWRTSSH免密码登陆
……
08-25 5880
1、使用PUTTYGEN.EXE生成RSA密钥 2、选好参数,点击 Generate ,然后不断晃动鼠标,生成后如下图: 3、复制上图中红框中的所有内容 4、点击“Save public key”保存公钥文件 5、点击“Save private key”保存私钥文件 6、登陆目标机器(此时需要密码) 6.1、一般linux设置使用的是sshd作为服务端,而Ope
29-Openwrt攻击
Creator_Ly的博客
05-18 1873
DOS攻击很常见,路由器可以通过iptables做一些简单的攻击防护,这边主要介绍模拟攻击的工具和防护攻击的手段。
openwrt路由器完美破解成信宿舍校园网
热门推荐
我的技博
03-10 7万+
这篇文章旨在从头到尾的记录破解inode校园网的过程,同时将网上的一干文章汇总。完全新手向。 一 目的:在宿舍自由自在的使用无线路由器,就像在家里一样 二 逻辑(流程):                   1. 首先要有一个可以刷openwrt的路由器, 可以在https://wiki.openwrt.org/toh/start上查看可以刷的型号,推荐tp-link的703n,本文基于7
服务器安全篇【ssh安全】
qq_43679507的博客
11-15 577
服务器安全篇【ssh安全】
SSH服务渗透测试利用指北
systemino的博客
06-30 1752
0x01 SSH和SFTP是什么 SSH是一种安全的远程shell协议,用于通过不安全的网络安全地运行网络服务。默认的SSH端口是22,通常会在Internet或Intranet上的服务器上看到它的打开状态。 SFTP是SSH文件传输协议,该协议用于通过SSH连接传输文件,大多数SSH实现也支持SFTP。 0x02 SSH服务器/库 最著名和最常见的SSH服务器和客户端是openSSH(OpenBSD安全shell)。它是一个功能强大的实现,维护良好,于1999年首次发布。因此,这是自Windows
网络安全方向相关课题和材料
学-> 思->用
10-30 1158
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
openssh端口修改,监听ip修改、20 个最佳实践
iteye_5495的博客
12-16 5095
在/etc/ssh/sshd_config中找到Port 22,将其修改为60000,或使用/usr/sbin/sshd -p 60000指定端口。   [root@localhost /]# vi /etc/ssh/sshd_config Port 60000 [root@localhost /]# /usr/sbin/sshd -p 60000 [root@localhost /]# se...
openwrt关闭ssh功能
x13163303344的专栏
10-05 4281
在make menuconfig中, 在Network分支中取消选中OpenSSH这个包就好了,关闭掉了ssh功能
openwrt中防暴力破解shell的脚本
d9394952的博客
02-21 2357
原文:http://www.right.com.cn/forum/thread-124429-1-1.html 原理:1. snort做入侵检测是很好,但是太大太复杂,我们需要轻量化的操作。当对方进行SSH 端口的穷举攻击的时候,dropbear会在系统log中记录下特定信息如: Login attempt for nonexistent user Bad password attempt for...
openwrt反攻局域网arp攻击shell脚本
coolbi5的博客
08-07 2296
openwrt arp 反攻 shell 脚本
ssh暴力破解防护软件
onlyellow的博客
08-03 1253
暴力破解ssh 防护
openwrt折腾日记】解决忘记OpenWRT中AdGuardHome的用户名和密码无法登录的问题
u010560236的博客
10-26 1万+
openWRT的AdGuardHome用户密码忘记了的解决办法
基于openwrt的wifi 渗透
jhui163的专栏
01-02 9897
# 背景 使用路由器刷了 openwrt的固件。然后尝试破解wpa等wifi的密码 0 ping downloads.openwrt.org 1 airmon-ng start mon.wlan0 2 airmon-ng start wlan0 3 opkg install airmon-ng 4 airmon-ng start wlan0 5 ifconfig -a 6 airodump-ng wlan0mon 7 airodump-ng --bs...
openwrt 安装ssh
10-18
安装 OpenWrt 后,默认是没有安装 SSH 服务的,需要手动安装。可以通过以下步骤安装 SSH: 1. 连接到 OpenWrt 路由器的 Web 界面。 2. 在左侧导航栏中选择“软件包”。 3. 在“软件包管理器”页面中,点击“更新列表”按钮,等待列表更新完成。 4. 在“过滤器”文本框中输入“openssh-server”,然后点击“查找包”按钮。 5. 在搜索结果中找到“openssh-server”,并点击右侧的“安装”按钮。 6. 等待安装完成后,即可通过 SSH 连接到 OpenWrt 路由器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值