云服务器被攻击-加固云服务器

最新推荐文章于 2024-07-12 15:04:31 发布
最新推荐文章于 2024-07-12 15:04:31 发布
阅读量622 收藏 1
点赞数
分类专栏: linux 网络安全 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_36544290/article/details/104555063
版权 
Connecting to 106.12.80.64:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

Last failed login: Thu Jan 10 19:21:09 CST 2019 from 89.46.223.79 on ssh:notty
There were 70 failed login attempts since the last successful login.
Last login: Thu Jan 10 10:10:18 2019 from 116.228.237.226
root@jonathan-pc:~# 

root@jonathan-pc:~# ls /var/log/
anaconda           cloud-init-output.log  lastlog            messages-20190106  spooler
audit              collectd.log           maillog            qemu-ga            spooler-20181216
boot.log           cron                   maillog-20181216   rhsm               spooler-20181223
boot.log-20181109  cron-20181216          maillog-20181223   sa                 spooler-20181230
boot.log-20181123  cron-20181223          maillog-20181230   samba              spooler-20190106
boot.log-20190109  cron-20181230          maillog-20190106   secure             thttpd.log
btmp               cron-20190106          messages           secure-20181216    tuned
btmp-20190101      dmesg                  messages-20181216  secure-20181223    wtmp
chrony             dmesg.old              messages-20181223  secure-20181230    yum.log
cloud-init.log     grubby                 messages-20181230  secure-20190106    yum.log-20190101

# vi /var/log/secure
Jan  6 03:43:04 localhost sshd[69671]: Invalid user cmf from 121.254.179.140 port 37980                                                                                           
Jan  6 03:43:04 localhost sshd[69671]: input_userauth_request: invalid user cmf [preauth]
Jan  6 03:43:04 localhost sshd[69671]: pam_unix(sshd:auth): check pass; user unknown
Jan  6 03:43:04 localhost sshd[69671]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.254.179.140
Jan  6 03:43:06 localhost sshd[69671]: Failed password for invalid user cmf from 121.254.179.140 port 37980 ssh2
Jan  6 03:43:06 localhost sshd[69671]: Received disconnect from 121.254.179.140 port 37980:11: Bye Bye [preauth]
Jan  6 03:43:06 localhost sshd[69671]: Disconnected from 121.254.179.140 port 37980 [preauth]
Jan  6 03:55:17 localhost sshd[70294]: Invalid user admin from 89.46.223.79 port 57882
Jan  6 03:55:17 localhost sshd[70294]: input_userauth_request: invalid user admin [preauth]
Jan  6 03:55:17 localhost sshd[70294]: pam_unix(sshd:auth): check pass; user unknown
Jan  6 03:55:17 localhost sshd[70294]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89.46.223.79
Jan  6 03:55:19 localhost sshd[70294]: Failed password for invalid user admin from 89.46.223.79 port 57882 ssh2
Jan  6 03:55:19 localhost sshd[70294]: Received disconnect from 89.46.223.79 port 57882:11: Bye Bye [preauth]
Jan  6 03:55:19 localhost sshd[70294]: Disconnected from 89.46.223.79 port 57882 [preauth]
Jan  6 03:55:21 localhost sshd[70300]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89.46.223.79  user=root
Jan  6 03:55:21 localhost sshd[70300]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Jan  6 03:55:23 localhost sshd[70300]: Failed password for root from 89.46.223.79 port 60408 ssh2
Jan  6 03:55:24 localhost sshd[70300]: Received disconnect from 89.46.223.79 port 60408:11: Bye Bye [preauth]
Jan  6 03:55:24 localhost sshd[70300]: Disconnected from 89.46.223.79 port 60408 [preauth]
Jan  6 03:55:25 localhost sshd[70307]: Did not receive identification string from 204.16.193.162 port 38026
Jan  6 03:55:26 localhost sshd[70305]: Invalid user ubnt from 89.46.223.79 port 35132
Jan  6 03:55:26 localhost sshd[70305]: input_userauth_request: invalid user ubnt [preauth]
Jan  6 03:55:26 localhost sshd[70305]: pam_unix(sshd:auth): check pass; user unknown
Jan  6 03:55:26 localhost sshd[70305]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89.46.223.79
Jan  6 03:55:27 localhost sshd[70310]: Invalid user arthur from 106.12.209.7 port 33917
Jan  6 03:55:27 localhost sshd[70310]: input_userauth_request: invalid user arthur [preauth]
Jan  6 03:55:27 localhost sshd[70310]: pam_unix(sshd:auth): check pass; user unknown
Jan  6 03:55:27 localhost sshd[70310]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=106.12.209.7
Jan  6 03:55:28 localhost sshd[70305]: Failed password for invalid user ubnt from 89.46.223.79 port 35132 ssh2
Jan  6 03:55:28 localhost sshd[70305]: Received disconnect from 89.46.223.79 port 35132:11: Bye Bye [preauth]
Jan  6 03:55:28 localhost sshd[70305]: Disconnected from 89.46.223.79 port 35132 [preauth]
Jan  6 03:55:29 localhost sshd[70310]: Failed password for invalid user arthur from 106.12.209.7 port 33917 ssh2
Jan  6 03:55:29 localhost sshd[70310]: Connection closed by 106.12.209.7 port 33917 [preauth]
Jan  6 03:55:30 localhost sshd[70313]: Invalid user user from 89.46.223.79 port 37800

  1. 禁止使用root登陆

    #useradd david
#passwd david

#visudo
david    ALL=(ALL)   NOPASSWD: ALL

#vi /etc/ssh/sshd_config
	#PermitRootLogin yes
	PermitRootLogin no

  2. 更改sshd端口

    # vi /etc/ssh/sshd_config
    #Port 22
    Port 65214

# systemctl restart sshd

  3. iptables开启黑名单

  4. 使用RSA8192密钥+密码 登陆

    服务端的authorized_keys文件注意可读权限,不同环境可能权限不一样,我的权限是004

    vi /etc/ssh/sshd_config
	PasswordAuthentication no

  5. 减少网络服务端口

    netstat查看网络端口,主要关闭0.0.0.0:XX,并且是LISTEN状态的端口

    0.0.0.0:XX,针对全部界面放行

    127.0.0.1,仅在本机内部放行

    192.168.122.1,针对虚拟设备的服务器

    [root@cloud ~]# netstat -tulnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1/systemd
tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN 1594/dnsmasq
tcp 0 0 0.0.0.0:22         0.0.0.0:* LISTEN 1243/sshd
tcp 0 0 127.0.0.1:25       0.0.0.0:* LISTEN 1526/master
tcp6 0 0 :::111 :::* LISTEN 1/systemd
tcp6 0 0 :::22              :::* LISTEN 1243/sshd
tcp6 0 0 ::1:25 :::* LISTEN 1526/master
udp 0 0 0.0.0.0:59036 0.0.0.0:* 30996/dhclient
udp 0 0 192.168.122.1:53 0.0.0.0:* 1594/dnsmasq
udp 0 0 0.0.0.0:67 0.0.0.0:* 1594/dnsmasq
udp 0 0 0.0.0.0:68 0.0.0.0:* 30996/dhclient
udp 0 0 127.0.0.1:323 0.0.0.0:* 862/chronyd
udp6 0 0 :::22527 :::* 30996/dhclient
udp6 0 0 ::1:323 :::* 862/chronyd

    将以上不用的服务端口关闭,例如关闭111端口的服务

    #1. 通过/etc/services查找端口对应的服务
[root@cloud ~]# grep ' 111/' /etc/services
sunrpc 111/tcp portmapper rpcbind # RPC 4.0 portmapper TCP
sunrpc 111/udp portmapper rpcbind # RPC 4.0 portmapper UDP
#2. 查看端口对应的服务,哪个在运行
[root@cloud ~]# systemctl list-unit-files --all | grep portmap 
[root@cloud ~]# systemctl list-unit-files --all | grep rpcbind
rpcbind.service  							   enabled
rpcbind.socket                                 enabled
rpcbind.target static
#3. 关闭服务,关闭开机自启
[root@cloud ~]# systemctl stop rpcbind.socket     <==立刻关闭该服务
[root@cloud ~]# systemctl stop rpcbind		      <==立刻关闭该服务
[root@cloud ~]# systemctl disable rpcbind.socket  <==下次开机不会启用
[root@cloud ~]# systemctl disable rpcbind 		  <==下次开机不会启用
    1. 让系统软件保持在最新状态
    # yum -y update
# vim /etc/crontab
0 3 * * * root /bin/yum -y update

  6. 用logwatch 分析登录档

    [root@cloud ~]# yum install logwatch 
[root@cloud ~]# sh /etc/cron.daily/0logwatch 
[root@cloud ~]# mail

  7. firewall

    http://linux.vbird.org/linux_server/0250simple_firewall.php

  8. 网络服务的权限,对外开放的服务的权限不要随便设置

  9. selinux管理服务权限

    http://linux.vbird.org/linux_server/0210network-secure.php

参考至鸟哥的私房菜和公司同事的建议:http://linux.vbird.org/linux_server/0107cloudandvm.php

无名小卒~
关注
专栏目录
服务器云锁.zip
07-11
云锁是首款基于操作系统加固技术的免费服务器安全管理软件,由国内著名信息安全厂商椒图科技自主研发,凝结操作系统加固尖端领域数十年的经验积累,集合服务器安全、网站安全管理为一体,包涵操作系统安全防护、网站...
linux ssh 登录提示信息 There were xxxx failed login attempts since the last successful login.
热门推荐
whatday的专栏
07-21 1万+
当您通过 shell 登录到您的 Linux(Ubuntu/Centos/Redhat/RHEL)时,您会收到一条警告,出现如下提示: There were xxx failed login attempts since the last successful login.如果你的操作系统不显示上面的提醒,这可能是由于您的服务器提供商修改了 CentOS 的 MOTD 规则 以阻止显示该信息,也可能是因为它们默认使用基于密钥的身份验证(更多信息见下文),或者可能是因为它使用不同的 Linux 发行版,根
There were failed login attempts since the last successful login.
颹蕭蕭
02-05 9619
查看试图暴力破解你的主机ssh的坏蛋们: >>> grep "Failed password for invalid user" /var/log/secure | awk '{print $13}' | sort | uniq -c | sort -nr 611 51.210.247.118 75 107.182.110.105 30 91.134.242.66 30 64.225.36.142 30 61.218.5.190 30
linux系统安全加固
最新发布
ting_liang的博客
07-12 984
执行命令:ls -l /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/hosts.allow/etc/hosts.allow /etc/services /etc/ssh/sshd_config 查看文件权限。4、执行命令:vi/etc/rsyslog.conf 查看authpriv值 将其设置为 authpriv.*/var/log/secure#将 authpirv 的任何级别的信息记录到 /var/log/secure 文件中。
关于Linux:There were ** failed login attempts since the last successful login
IT晓白
07-19 3445
谢谢能够看到这里,希望对于新手会有用,我也是在测试阶段;后续监控一下暴力破解的是否减少。能够介绍不必要的损失。上面使用的都是测试用户,下面再写一个删除用户的命令。由于部署一些东西想要在线访问使用的是阿里云的服务器,但是每次使用root登录的时候,都会出现下图所示的信息,有尝试暴力登录我的主机。-使用root用户执行下面命令。重启sshd服务使其修改生效。...
Could not chdir to home directory /app/fileserver: Permission denied的解决方法
一火的专栏
03-25 2269
【现象】 Last failed login: Fri Mar 25 14:52:29 CST 2022 from 118.194.243.53 on ssh:notty There were 7 failed login attempts since the last successful login. Could not chdir to home directory /app/fileserver: Permission denied -bash: /app/fileserver/.bash
Linux 中使用日志来排错
刘锐群的笔记
09-01 1192
人们创建日志的主要原因是排错。通常你会诊断为什么问题发生在你的 Linux 系统或应用程序中。错误信息或一系列的事件可以给你提供找出根本原因的线索,说明问题是如何发生的,并指出如何解决它。这里有几个使用日志来解决的样例。 登录失败原因 如果你想检查你的系统是否安全,你可以在验证日志中检查登录失败的和登录成功但可疑的用户。当有人通过不正当或无效的凭据来登录时会出现认证失败,这通常发生在使
云锁服务器端.zip
07-11
云锁是首款基于操作系统加固技术的免费服务器安全管理软件,由国内著名信息安全厂商椒图科技自主研发,凝结操作系统加固尖端领域数十年的经验积累,集合服务器安全、网站安全管理为一体,包涵操作系统安全防护、网站...
云锁服务器端-Linux-64bit-1.0.59
04-02
服务器云锁是基于操作系统内核加固技术的免费服务器安全管理软件,由国内信息安全厂商椒图科技自主研发,凝结操作系统内核加固领域数十年的经验积累,集合服务器安全、网站安全管理为一体,以操作系统内核加固技术为...
云锁服务器端-linux-32bit-1.0.59
04-02
服务器云锁是基于操作系统内核加固技术的免费服务器安全管理软件,由国内信息安全厂商椒图科技自主研发,凝结操作系统内核加固领域数十年的经验积累,集合服务器安全、网站安全管理为一体,以操作系统内核加固技术为...
php实现Linux服务器木马排查及加固功能
10-24
本文将详细讲解如何利用PHP进行木马排查以及采取哪些措施来加固服务器安全。 首先,针对特征码查找是木马排查的基础。PHP木马通常会包含特定的执行命令,例如`eval()`或`assert()`函数,这些函数可以让恶意代码执行...
Linux防止暴力破解密码脚本
qianfeng_dashuju的博客
10-20 980
1.认识记录linux记录安全的日志 [root@testpm ~]# cd /var/log/ [root@testpm log]# ls | grep secure secure 2.该日志的内容查看 [root@testpm log]# tail -f secure #表示ssh身份验证失败 Aug 29 23:35:03 testpm sshd[111245]: pam_unix(sshd:auth): authentication failure; logname= uid=0 ..
ubuntu 16.04防止SSH暴力登录攻击
浮华瑰梦
07-08 4243
ubuntu 16.04防止SSH暴力登录攻击 最近观察服务器的认证日志,发现有些国外的IP地址,多次尝试破解服务器的密码进行登录。于是希望能将多次尝试SSH登录失败的IP阻止掉。 查看日志文件: 1 $ sudo cat /var/log/auth.log 看到很多如下的日志: Failed password for root from 123.15.36.218 port 51252 ssh2 reverse mapping checking g.
linux安全加固
m0_51553670的博客
06-01 4433
目的:在设备权限配置能力内,根据用户的企业需要,配置其所需的最小权限,以减少非法访问的可能性。目的:修改创建文件或目录时的默认权限,防止属于该组的其他用户级别组的用户修改该用户的文件。目的:删除系统不需要的默认账号、更改危险账号的默认shell变量,降低被利用的可能性。目的:对于采用静态密码认证的设备,账户密码的生存周期不长于90天。目的:限制用户对系统资源的使用,减缓DDOS等攻击危害。目的:关闭无用服务,提高系统性能,减低漏洞风险。目的:规范使用高强度密码,延长被爆破的时间。
Linux安全加固手册
weixin_34054931的博客
12-06 1839
1 身份鉴别 1.1 密码安全策略 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 设置有效的密码策略,防止攻击者破解出密码 1)查看空口令帐号并为弱/空口令帐号设置强密码 # awk -F: '($2 == ""){print $1}' /etc/shadow 可用离线破解、暴力字典破解或者密码网站...
测试怎么在linux找日志,在Linux中使用日志来排错
weixin_34374031的博客
05-09 266
人们创建日志的主要原因是排错。通常你会诊断为什么问题发生在你的 Linux 系统或应用程序中。错误信息或一系列的事件可以给你提供找出根本原因的线索,说明问题是如何发生的,并指出如何解决它。这里有几个使用日志来解决的样例。登录失败原因如果你想检查你的系统是否安全,你可以在验证日志中检查登录失败的和登录成功但可疑的用户。当有人通过不正当或无效的凭据来登录时会出现认证失败,这通常发生在使用 SSH 进行...
服务器一直被暴力破解
m0_63004677的博客
03-15 1236
日志收到了来自不同IP地址的用户root的SSH登录尝试,恶意用户试图破解系统密码。
Ubuntu的SSH安全配置,查看SSH登录日志文件,修改默认端口,UFW配置防火墙,禁止root用户登录,禁用密码登陆,使用RSA私钥登录,使用 Fail2ban 工具,使用两步验证(2FA)
ittuann的博客
11-19 4042
Ubuntu的SSH安全配置,查看SSH登录日志文件,修改默认端口,UFW配置防火墙,禁止root用户登录,禁用密码登陆,使用RSA私钥登录,使用 Fail2ban 工具,使用两步验证(2FA)
linux 普通用户 修改密码后登录失败
qq_33930506的博客
09-10 1284
pam_tally2 --user 用户名 --reset。使用如下命令,清除密码错误次数,或者等待时间限制解除。表示密码错误超过次数被限制了!
PHP实现Linux服务器木马检测与安全加固策略
本文主要探讨如何利用PHP来实现Linux服务器的木马排查与加固功能,针对经常遭受Webshell攻击的问题提供实用的方法。在遇到网站频繁被挂马的情况时,通过以下几个步骤可以有效地进行处理: 1. **特征码查找**: PHP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值