快来康康你们的鸡鸡被ssh暴力破解了吗

vps理论研究家 · 发表于 2022-10-9 14:10:25

本帖最后由 vps理论研究家于 2022-10-9 17:20 编辑

这几天鸡鸡被爆破，难受的一批

，网上看了一些教程，分享给各位mjj
ubuntu和debian：
ssh成功登录记录在/var/log/wtmp和/var/log/wtmp.1（两个文件轮换记录），ssh登录失败记录在/var/log/btmpy和/var/log/btmp.1（两个文件轮换记录），都是二进制文件，直接打开显示乱码。
可通过lastb命令查看：sudo lastb -f /var/log/btmp.1

centos：
登录日志记录在/var/log/secure

查看有多少条登录失败记录：
grep -o "Failed password" /var/log/secure|uniq -c

查看都有哪些ip在爆破：
grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr

查看都在爆破哪些用户名：
grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

防止被暴破方法：

1.修改ssh默认端口
编辑 /etc/ssh/sshd_config
找到Port 22修改为自定义未占用端口
保存配置并重启ssh服务

2.使用Public key登录，禁用passwd登录（修改/etc/ssh/sshd_config找到password 参数改为false）

3.iptables添加ip白名单
iptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp --dport 22 -j ACCEPT

4.去控制台自行添加防火墙的ip白名单访问自定义端口

5.ssh连续错误次数设置一定时间禁止登录
在/etc/pam.d/sshd 文件中添加一行
auth required pam_tally2.so deny=AAA unlock_time=BBB even_deny_USER USER_unlock_time=BBB
其中AAA为连续登录错误次数，BBB为重置错误次数时间（单位：秒），USER改为使用的用户名

在/etc/pam.d/login 文件中同样添加该行
auth required pam_tally2.so deny=AAA unlock_time=BBB even_deny_USER USER_unlock_time=BBB
其中AAA为连续登录错误次数，BBB为重置错误次数时间（单位：秒），USER改为使用的用户名

保存文件立即生效

6.安装fail2ban
具体方法见博客，网上找的https://learnku.com/server/t/36233
博客备份https://web.archive.org/web/20221009091909/https://learnku.com/server/t/36233
...........更多方法待大佬补充

danielzi · 发表于 2022-10-9 14:29:57

补两个命令

查看用密码登陆成功的IP地址及次数
grep "Accepted password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

查看用密码登陆失败的IP地址及次数
grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

5700pgf · 发表于 2022-10-9 14:13:42

用fail2ban的路过~

虎谷 · 发表于 2022-10-9 14:15:04

fail2ban的路过

Apvim · 发表于 2022-10-9 14:15:29

fail2ban+1
登录错5次的IP只能10年后在试

Faxlok · 发表于 2022-10-9 14:16:02

正则可以写的很短 \d+\.\d+\.\d+\.\d+

debian 登录成功的用last查看，登录失败用lastb

只看该作者 · 发表于 2022-10-9 14:16:23

提示: 作者被禁止或删除内容自动屏蔽

xctcc · 发表于 2022-10-9 14:51:29

fail2ban怎么配置

昔洛z · 发表于 2022-10-9 14:56:04

fail2ban怎么配置

Iap · 发表于 2022-10-9 15:23:58

被爆破的都是那些用密码登录的人，还是那种简单密码。

拿到机器的一个好习惯就是编辑/etc/ssh/sshd_config关闭密码登录，仅用秘钥登录，然后再把root登录关掉，另外再开个fail2ban就无忧了

		自动登录	找回密码
密码			注册

崽崽该用户已被删除	6^# 发表于 2022-10-9 14:16:23 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
崽崽该用户已被删除
	回复支持反对举报

[美国VPS] 快来康康你们的鸡鸡被ssh暴力破解了吗

相关帖子

点评