我经常在我的 中遇到这些情况/var/log/secure.log:
Nov 5 10:50:49 www sshd[775]: reverse mapping checking getaddrinfo for 124.107.32.54.pldt.net [124.107.32.54] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov 5 10:50:49 www sshd[775]: Invalid user weber from 124.107.32.54
Nov 5 10:51:18 www sshd[802]: Invalid user weblogic from 66.178.48.196
Nov 5 10:51:56 www sshd[826]: reverse mapping checking getaddrinfo for gw-baneasa-v422.comtelnetworks.eu [193.230.208.98] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov 5 10:51:56 www sshd[826]: Invalid user webmail from 193.230.208.98
Nov 5 10:52:22 www sshd[860]: Invalid user webmail from 150.214.102.129
Nov 5 10:53:29 www sshd[905]: Invalid user webmaster from 195.205.203.6
Nov 5 10:53:57 www sshd[928]: Invalid user webmaster from 86.101.90.21
Nov 5 10:54:29 www sshd[943]: Invalid user webservd from 151.118.130.225
我已经禁用了除之外的所有形式的 SSH 身份验证,publickey所以我认为他们不会找到进入的方法。但我应该更加担心这个吗?
- 有什么办法可以防止这种情况发生吗,或者我的网站现在才开始流行?
- 我可以在服务器上设置防火墙来阻止失败的登录尝试吗?攻击似乎是分布式的;每次尝试都来自不同的 IP。
答案1
移动 SSH 端口的一个不错的替代方法是使用类似区块主机。这是一个 python 脚本,可以扫描日志文件(通常是 /var/log/auth.log)以查找此类内容,并将动态条目放入 /etc/hosts.allow 以阻止人们进行暴力扫描。我在我的 SSH 和 vsftpd 安装中使用它,在连续 5 次输入错误密码后将人们列入黑名单,效果很好。
答案2
正如已经指出的那样,这只是一种自动扫描,它会尝试针对众所周知的(当然对于攻击者而言)目标类型附加字典。
作为一个降噪技术你可以更改服务器上的 SSHD 端口,你可以按照以下步骤以非常简单的方式实现此目标我给 SF 上另一个问题的说明。
笔记:这种方法与真正的安全无关(众所周知,通过隐蔽性实现的安全性根本不是安全性),但可以帮助阻止脚本小子,并且您的系统日志会感谢您:)
编辑:
可以使用实时公共 SSH 暴力破解黑名单来实现黑名单方法的另一种实现方式,例如sshbl.org。
本地 BL 方法的替代方案是BFD(暴力破解检测)
答案3
您可能还想考虑使用失败2ban。
答案4
如果您打开了 ssh,那么您的机器就会看起来像一个有趣的目标,因为它很可能是一个服务器,因此从黑客的角度来看值得入侵。
您可以通过隐蔽性来实现安全性并移动您的 ssh 端口。您可以在此提示下在计算机上执行此操作http://www.macosxhints.com/article.php?story=20050707140439980它在 10.5 上也能正常工作。我还没有在 10.6 上做过,但我不知道为什么它在 10.6 上不能正常工作。
您还可以在防火墙上执行此操作,将对其他端口的外部请求转换为转发到此机器上的 22。这只是一种通过隐蔽性实现安全性的不同方法。
您可以从外部禁用 ssh 并仅使用 VPN 进入。从安全角度来看,这是最强大的选择。
无论如何,请确保您有一个强密码。如果您有一个强密码,他们就无法进入,但留在默认端口上,可能会发生小型拒绝服务攻击,使机器承受不堪重负的身份验证请求,或至少造成一点性能损失。
您会注意到,他们基本上只是按字母顺序尝试各种登录名。另一层安全性是使用非标准登录名。例如,您可以肯定他们会尝试 admin 和 root。
我还想禁用较旧、安全性较低的 ssh1 协议:http://www.macosxhints.com/article.php?story=2005021023215253