我在直接管理中使用暴力监视器时遇到了问题。我每分钟都会收到这样的信息:
15705610210001 52.187.17.107 123 1 sshd4 十月 8 20:56:24 服务器 sshd[10817]: 来自 52.187.17.107 端口 40775 ssh2 的无效用户 123 的密码失败
15705610210000 176.31.253.55 Titanic123 1 sshd4 十月 8 20:56:02 服务器 sshd[10808]: 来自 176.31.253.55 端口 35368 ssh2 的无效用户 Titanic123 的密码失败
15705609610001 45.125.65.34 internet 1 exim2 2019-10-08 20:55:18 (用户) [45.125.65.34] 登录验证器失败: 535 验证数据不正确 (set_id=internet)
15705609610000 80.211.180.23 qazWSX 1 sshd4 十月 8 20:55:21 服务器 sshd[10799]: 来自 80.211.180.23 端口 40812 ssh2 的无效用户 qazWSX 的密码失败
15705609010000 138.197.89.212 root 1 sshd5 十月 8 20:54:15 服务器 sshd[10784]: 来自 138.197.89.212 端口 33528 ssh2 的 root 密码失败
15705608410001 51.254.99.208 root 1 sshd5 十月 8 20:53:56 服务器 sshd[10776]: 来自 51.254.99.208 端口 42610 ssh2 的 root 密码失败
15705608410000 194.182.86.133 root 1 sshd5 十月 8 20:53:31 服务器 sshd[10770]: 来自 194.182.86.133 端口 38058 ssh2 的 root 密码失败
15705607810002 45.125.65.58 market 1 exim2 2019-10-08 20:52:50 (用户) [45.125.65.58] 登录验证器失败: 535 验证数据不正确 (set_id=market)
我已经安装了 fail2ban 和 CSF 。CSF 应该会自动使用 BFM 进行阻止。
我的 ssh 端口已更改。我的 directadmin 端口已更改。
在 ssh 配置中:MaxAuthTries 3 MaxSessions 5
在 CSF 中:IGNORE_ALLOW =“1”
允许端口:tcp 输入 2109、9009、53、80,443,20,21,25,110,143,587,993,995,3306 tcp 输出 2109、9009、80、113、443、20,21,25,110,3306 udp 输入 53,20,21 udp 输出 53,113,123,20,21
CC_DENY:CN、IN、RU、VN、AR、TR、LV、BY、JP、EC、MY、TW、KR
LF_SSHD 等设置 3。
我如何才能确保并消除这种暴力攻击?
fail2ban 日志:
2019-10-08 21:01:29,037 fail2ban.actions [1487]: 注意 [sshd] 194.182.86.133 已被禁止
2019-10-08 21:01:30,385 fail2ban.filter [1487]:INFO [sshd] 找到 194.182.86.133
2019-10-08 21:01:37,604 fail2ban.filter [1487]:INFO [sshd] 找到 110.49.70.240
2019-10-08 21:01:38,045 fail2ban.actions [1487]: 通知 [sshd] 禁止 110.49.70.240
2019-10-08 21:01:38,151 fail2ban.action [1487]:错误 iptables -w -n -L 输入 | grep -q 'f2b-sshd[ \t]' -- stdout:b''
2019-10-08 21:01:38,151 fail2ban.action [1487]:错误 iptables -w -n -L 输入 | grep -q 'f2b-sshd[ \t]' -- stderr:b''
2019-10-08 21:01:38,151 fail2ban.action [1487]:错误 iptables -w -n -L INPUT | grep -q 'f2b-sshd[ \t]' -- 返回 1
2019-10-08 21:01:38,151 fail2ban.CommandAction [1487]: 错误不变检查失败。尝试恢复正常环境
2019-10-08 21:01:38,256 fail2ban.action [1487]:错误 iptables -w -D INPUT -p tcp -m multiport --dports ssh,2109,sftp -j f2b-sshd iptables -w -F f2b-sshd iptables -w -X f2b-sshd -- stdout:b''
2019-10-08 21:01:38,257 fail2ban.action [1487]:错误 iptables -w -D INPUT -p tcp -m multiport --dports ssh,2109,sftp -j f2b-sshd iptables -w -F f2b-sshd iptables -w -X f2b-sshd -- stderr:b“iptables v1.6.0:无法加载目标f2b-sshd':No such file or directory\n\nTryiptables -h' 或'iptables --help' 以获取更多信息。\niptables:没有该名称的链/目标/匹配。\niptables:没有该名称的链/目标/匹配。\n”
2019-10-08 21:01:38,257 fail2ban.action [1487]:错误 iptables -w -D INPUT -p tcp -m multiport --dports ssh,2109,sftp -j f2b-sshd iptables -w -F f2b-sshd iptables -w -X f2b-sshd --返回 1
2019-10-08 21:01:38,257 fail2ban.actions [1487]:错误,无法执行 ban jail'sshd' 操作'iptables-multiport' 信息'CallingMap({'matches':'Oct 8 19:29:42 server sshd[5972]:pam_unix(sshd:auth):身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=110.49.70.240 user=root\nOct 8
19:29:43 服务器 sshd[5972]: 从 110.49.70.240 端口 31718 输入 root 密码失败 ssh2\nOct 8 21:01:37 服务器 sshd[19799]: pam_unix(sshd:auth): 身份验证失败;logname=uid=0 euid=0 tty=ssh ruser=rhost=110.49.70.240 user=root', 'ipjailfailures': . at 0x7f858c6379d8>, 'failures': 3, 'ipmatches': .在 0x7f858d696510>,'ip':'110.49.70.240','time':1570561298.0458193,'ipfailures':。在 0x7f858c637510>,'ipjailmatches':。在 0x7f858c637620>})':停止操作时出错
2019-10-08 21:01:39,734 fail2ban.filter [1487]:INFO [sshd] 找到 110.49.70.240
答案1
老实说,如果您的 ssh 服务器进行了端口转发,您几乎无法阻止这些攻击。只需确保您有一个强密码并且不要使用常见的用户名即可。此外,正如您所见,Fail2Ban 还可以保护您的服务器的 SSH 免受暴力攻击。此外,IPTables 或 Fail2Ban 似乎可能已损坏并且无法正确禁止 IP。
答案2
如果您看到ERROR Invariant check failed. Trying to restore a sane environment或Couldn't load target 'f2b-sshd':No such file or directory,则可能意味着:
- 要么 fail2ban 最初无法启动禁令操作(或自 v.0.10 以来第一次禁令要求),例如由于配置错误,或者内核不允许/安装多端口模块等... 请参阅 fail2ban.log 以了解操作启动时的错误;
- 或者某些外部因素在中间删除或刷新了 fail2ban 规则(尽量避免在 iptables 中彻底刷新规则/链)。如果您有某些服务这样做,请向 fail2ban 添加依赖项或尝试过滤 fail2ban 链(例如,对名称以 开头的链使用
iptables-save/ );iptables-restoref2b- - 或者您在 fail2ban 的操作启动后(iptables 规则已应用)更改了 iptables 规则(ssh、sftp)中使用的端口别名。