1
lhx2008 2013-07-08 08:52:47 +08:00 1
感觉没什么。最简单有效的解决方法就是密钥登录,或者密码设长一点等他慢慢来 。
|
2
summic 2013-07-08 08:54:37 +08:00
每台机器的secure都会大量被扫,密钥登录或者fail2ban
|
3
juicy 2013-07-08 08:55:33 +08:00 via Android
猜密码这种能猜对的概率也太低了吧。。
|
4
fork3rt 2013-07-08 09:00:30 +08:00
估计是字典爆破,类似MS MSTSC爆破 .
|
5
wjchen 2013-07-08 09:14:12 +08:00
改成key登录,禁止密码登录,改端口就ok了。
|
6
vietor 2013-07-08 09:37:20 +08:00
太正常了,一般平均每天都有1000左右这样的扫描。设置一个没在字典里面的密码就行了。
|
7
liheng 2013-07-08 09:41:15 +08:00
1、使用密钥登录,禁止密码登录
2、禁止root 登录 3、更改ssh端口。 |
8
Numbcoder 2013-07-08 09:41:42 +08:00
我擦,刚刚看我 VPS log,貌似也是一直被暴力破解。
Jul 7 23:42:37 localhost sshd[27508]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.142.106.34 user=root Jul 7 23:42:39 localhost sshd[27508]: Failed password for root from 61.142.106.34 port 47903 ssh2 Jul 7 23:42:39 localhost sshd[27508]: Received disconnect from 61.142.106.34: 11: Bye Bye [preauth] |
9
csx163 2013-07-08 09:44:07 +08:00
撸主大惊小怪了
|
10
vibbow 2013-07-08 09:53:46 +08:00
端口扫描太正常了。
我在一台windows服务器上装了一个sshd,你就看每天一堆用root账户尝试登陆的(一点也不智能,看到Windows标记也不知道用Administrator...) |
11
vibbow 2013-07-08 09:56:46 +08:00 1
随便来张日志截图
http://vsean.net/pic/di-9RKV.png |
12
caoyue 2013-07-08 09:58:31 +08:00 1
grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | grep -v ";"
统计来源和次数 |
13
chenshaoju 2013-07-08 10:03:52 +08:00 1
这篇文章适合初学者,给你参考:
http://t.tt/104/ |
14
won 2013-07-08 10:13:50 +08:00
太正常了,也不是针对你为了什么特殊内容。这也就是批量找肉鸡的
|
15
ksc010 2013-07-08 10:17:12 +08:00
fail2ban
|
16
akira 2013-07-08 10:19:50 +08:00
习惯了就好
|
17
ivanlw 2013-07-08 10:26:28 +08:00
@chenshaoju 502?
|
18
zhttty 2013-07-08 10:53:33 +08:00 1
刚改了19位的密码...
|
19
BOYPT 2013-07-08 12:57:51 +08:00
改什么密码都没意义吧,去掉root的密码登录才正道。fail2ban,
|
20
Zhang 2013-07-08 13:07:29 +08:00
再长的密码也是明文传输,也会被截获
|
21
BOYPT 2013-07-08 13:22:59 +08:00
楼上亮了。
|
22
colorday 2013-07-08 13:23:13 +08:00
fail2ban+1
|
23
xunyu 2013-07-08 13:36:09 +08:00
在上面跑个虚拟机,做个蜜罐,看看这厮要怎样
|
24
chenshaoju 2013-07-08 13:50:29 +08:00
|
25
DreaMQ 2013-07-08 13:50:33 +08:00 via iPhone
禁用SSH,用VNC控制
|
26
Zhang 2013-07-08 13:53:52 +08:00
@chenshaoju 握手阶段还是明文
|
27
ooxxcc 2013-07-08 14:18:13 +08:00
denyhosts。。
|
28
chenshaoju 2013-07-08 14:44:38 +08:00
@Zhang 握手结束后才会传输认证信息,理论上能确认服务器的公钥正确的情况下,无需担心密码被第三方破译。
|
30
PrideChung 2013-07-08 15:21:19 +08:00 4
禁止root登陆 √
公钥验证登陆 √ 修改SSH默认端口 √ fail2ban √ 用ufw关闭所有不使用的端口号 √ 自动安装安全更新 √ Logwatch每天日报 √ 每天都有人来扫我的VPS,不过还没看见有什么威胁。 |
31
bearqq 2013-07-08 16:10:31 +08:00
让他攻击好了,给他个蜜罐,让他什么也得不到
比如: RKTECH:~# w 00:33:54 up 5 days, 19:02, 1 user, load average: 0.00, 0.00, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 172.158.34.148 00:33 0.00s 0.00s 0.00s w RKTECH:~# uname -a Linux RKTECH 2.6.26-2-686 #1 SMP Wed Nov 4 20:45:37 UTC 2009 i686 GNU/Linux RKTECH:~# php -v bash: php: command not found RKTECH:~# cat /proc/cpuinfo processor : 0 vendor_id : GenuineIntel cpu family : 6 model : 23 model name : Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz stepping : 6 cpu MHz : 2133.305 cache size : 6144 KB physical id : 0 siblings : 2 core id : 0 cpu cores : 2 apicid : 0 initial apicid : 0 fpu : yes fpu_exception : yes cpuid level : 10 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good pni monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr sse4_1 lahf_lm bogomips : 4270.03 clflush size : 64 cache_alignment : 64 address sizes : 36 bits physical, 48 bits virtual power management: processor : 1 vendor_id : GenuineIntel cpu family : 6 model : 23 model name : Intel(R) Core(TM)2 Duo CPU E8200 @ 2.66GHz stepping : 6 cpu MHz : 2133.305 cache size : 6144 KB physical id : 0 siblings : 2 core id : 1 cpu cores : 2 apicid : 1 initial apicid : 1 fpu : yes fpu_exception : yes cpuid level : 10 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good pni monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr sse4_1 lahf_lm bogomips : 4266.61 clflush size : 64 cache_alignment : 64 address sizes : 36 bits physical, 48 bits virtual power management: RKTECH:~# ps x PID TTY STAT TIME COMMAND 1 ? Ss 0:07 init [2] 2 ? S< 0:00 [kthreadd] 3 ? S< 0:00 [migration/0] 4 ? S< 0:00 [ksoftirqd/0] 5 ? S< 0:00 [watchdog/0] 6 ? S< 0:17 [events/0] 7 ? S< 0:00 [khelper] 39 ? S< 0:00 [kblockd/0] 41 ? S< 0:00 [kacpid] 42 ? S< 0:00 [kacpi_notify] 170 ? S< 0:00 [kseriod] 207 ? S 0:01 [pdflush] 208 ? S 0:00 [pdflush] 209 ? S< 0:00 [kswapd0] 210 ? S< 0:00 [aio/0] 748 ? S< 0:00 [ata/0] 749 ? S< 0:00 [ata_aux] 929 ? S< 0:00 [scsi_eh_0] 1014 ? D< 0:03 [kjournald] 1087 ? S<s 0:00 udevd --daemon 1553 ? S< 0:00 [kpsmoused] 2054 ? Sl 0:01 /usr/sbin/rsyslogd -c3 2103 tty1 Ss 0:00 /bin/login -- 2105 tty2 Ss+ 0:00 /sbin/getty 38400 tty2 2107 tty3 Ss+ 0:00 /sbin/getty 38400 tty3 2109 tty4 Ss+ 0:00 /sbin/getty 38400 tty4 2110 tty5 Ss+ 0:00 /sbin/getty 38400 tty5 2112 tty6 Ss+ 0:00 /sbin/getty 38400 tty6 2133 ? S<s 0:00 dhclient3 -pf /var/run/dhclient.eth0.pid -lf /var/lib 4969 ? Ss 0:00 /usr/sbin/sshd: root@pts/0 5673 pts/0 Ss 0:00 -bash 5679 pts/0 R+ 0:00 ps x RKTECH:~# unset ; rm -rf /var/run/utmp /var/log/wtmp /var/log/lastlog /var/log/messages /var/log/secure /var/log/xferlog /var/log/maillog ; touch /var/run/utmp /var/log/wtmp /var/log/lastlog /var/log/messages /var/log/secure /var/log/xferlog /var/log/maillog ; unset HISTFILE ; unset HISTSAVE ; unset HISTLOG ; history -n ; unset WATCH ; export HISTFILE=/dev/null ; export HISTFILE=/dev/null 1 w 2 uname -a 3 php -v 4 cat /proc/cpuinfo 5 ps x 6 unset ; rm -rf /var/run/utmp /var/log/wtmp /var/log/lastlog /var/log/messages /var/log/secure /var/log/xferlog /var/log/maillog ; touch /var/run/utmp /var/log/wtmp /var/log/lastlog /var/log/messages /var/log/secure /var/log/xferlog /var/log/maillog ; unset HISTFILE ; unset HISTSAVE ; unset HISTLOG ; history -n ; unset WATCH ; export HISTFILE=/dev/null ; export HISTFILE=/dev/null RKTECH:~# |
32
andybest 2013-07-08 16:13:07 +08:00
有没有办法可以在日志里看到攻击者尝试登录的密码是什么?
|
35
annielong 2013-07-08 16:57:59 +08:00
都有,windows的也是经常有错误密码登陆的错误提示,
|
36
shierji 2013-07-08 17:16:39 +08:00
很正常 我用的denyhosts
|
37
cicku 2013-07-08 18:13:36 +08:00
|
38
yangzh 2013-07-08 19:25:00 +08:00
|
40
alexrezit 2013-07-08 22:23:01 +08:00 via iPhone
我 I 进来 came in 就是 just 为了 for 吐槽: VPS 的 S 就是服务器的意思.
|
41
janxin 2013-07-09 17:56:44 +08:00
建立信任关系,禁用SSH密码登陆
|
49
ety001 2013-07-10 22:43:49 +08:00
撸主大惊小怪了
|
51
PrideChung 2013-07-11 01:35:22 +08:00
@juicy 用fail2ban解决暴力破解,你设定成登陆失败3次封锁该IP小时,按RSA的加密等级他得算上好久。
|
53
twd2 2013-07-13 02:05:23 +08:00
关闭ssh, 使用串口
|