Box 变慢了,并决定这样做vim /var/log/secure,然后看到一堆暴力方法试图使用以 AZ 开头的名称进行 ssh。
iptables已安装,因此我通过以下方式添加了 ip:
iptables -I FORWARD -s [ip] -j DROP
iptables -I INPUT -s [ip] -j DROP
好像它自动阻止了他的 IP。我这样做了:
iptables -nvL|less
这表明他的 IP 可能被封锁了:
Chain INPUT (policy ACCEPT 26G packets, 9985G bytes)
pkts bytes target prot opt in out source destination
23 1400 DROP all -- * * [HIS_IP] 0.0.0.0/0
26G 9985G PORTSEN all -- * * 0.0.0.0/0 0.0.0.0/0
是这个吗?我需要使用任何命令来实际保存它吗?比如service iptables save?还是它会自动保存?
作为预防措施,我将遵循指南并添加:
iptables -I INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
iptables -I INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 4 --name DEFAULT --rsource -j DROP
这些措施足以应对低级到中级攻击吗?欢迎提供任何意见。
答案1
你应该使用类似的工具失败2ban它会自动响应暴力攻击并管理 IP 禁令。