那些遇到过的问题

如何应对 sshd 蛮力攻击

Asa*_*uhi 5 iptables ossec 18.04

我最近收到了来自 OSSEC HIDS 的通知,警告我关于 SSHD 暴力攻击。为了完整起见,我在下面报告整个消息:

OSSEC HIDS Notification.
2020 Mar 03 12:00:17

Received From: commodore->/var/log/auth.log
Rule: 5712 fired (level 10) -> "SSHD brute force trying to get access to the system."
Src IP: 188.166.xxx.xxx
Portion of the log(s):

Mar  3 12:00:16 commodore sshd[21661]: Disconnected from invalid user www 188.166.xxx.xxx port 45788 [preauth]
Mar  3 12:00:16 commodore sshd[21661]: Invalid user www from 188.166.xxx.xxx port 45788
Mar  3 11:59:53 commodore sshd[21204]: Disconnected from invalid user weblogic 188.166.xxx.xxx port 34582 [preauth]
Mar  3 11:59:53 commodore sshd[21204]: Invalid user weblogic from 188.166.xxx.xxx port 34582
Mar  3 11:59:08 commodore sshd[21198]: Disconnected from invalid user stack 188.166.xxx.xxx port 40352 [preauth]
Mar  3 11:59:08 commodore sshd[21198]: Invalid user stack from 188.166.xxx.xxx port 40352
Mar  3 11:58:28 commodore sshd[21193]: Disconnected from invalid user jira 188.166.xxx.xxx port 46186 [preauth]
Mar  3 11:58:28 commodore sshd[21193]: Invalid user jira from 188.166.xxx.xxx port 46186
Run Code Online (Sandbox Code Playgroud)

为了加强对我机器的 SSH 访问,我将我的公钥上传到我的 VPS 并禁用了 SSH 密码身份验证。总结一下,我编辑/etc/ssh/sshd_config如下:

PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
Banner none
AllowTcpForwarding no
GatewayPorts no
AddressFamily inet
Run Code Online (Sandbox Code Playgroud)

目前我的iptables规则是:

-P INPUT ACCEPT
-P FORWARD DROP
-P OUTPUT ACCEPT
-N DOCKER
-N DOCKER-ISOLATION-STAGE-1
-N DOCKER-ISOLATION-STAGE-2
-N DOCKER-USER
-A INPUT -i lo -j ACCEPT
-A INPUT -s 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p icmp -m state --state NEW -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables_INPUT_denied: " --log-level 7
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j DOCKER-USER
-A FORWARD -j DOCKER-ISOLATION-STAGE-1
-A FORWARD -o docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o docker0 -j DOCKER
-A FORWARD -i docker0 ! -o docker0 -j ACCEPT
-A FORWARD -i docker0 -o docker0 -j ACCEPT
-A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 7
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A DOCKER-ISOLATION-STAGE-1 -i docker0 ! -o docker0 -j DOCKER-ISOLATION-STAGE-2
-A DOCKER-ISOLATION-STAGE-1 -j RETURN
-A DOCKER-ISOLATION-STAGE-2 -o docker0 -j DROP
-A DOCKER-ISOLATION-STAGE-2 -j RETURN
-A DOCKER-USER -j RETURN
Run Code Online (Sandbox Code Playgroud)

由于我不是经验丰富的管理员,如果您能建议我希望对此类攻击使用什么响应,我将不胜感激。我的 sshd 和防火墙配置是否足够或需要采取进一步措施,例如阻止 188.166.xxx.xxx ip 地址?

小智 5

您可以使用fail2ban. 这将在尝试过多的情况下临时阻止 ip 地址。

您可以查看:如何在 Ubuntu Server 18.04 上安装 fail2ban。它也适用于其他版本。

归档时间:

查看次数:

785 次

最近记录:

5 年,8 月 前
谁在试图暴力破解我的密码? 4
更多相关链接
相关归档
声卡在 Ubuntu 18.04 中显示为虚拟输出 22
如何找出当前活动桌面背景图像(Ubuntu 18.04、GNOME)的位置/路径? 14
如何在 Ubuntu 18.04 上安装 Kindle? 13
/usr/bin/ld: 找不到 -lpq 8
Notepad ++ snap 包未启动 7
iwlwifi 向后移植 6
VirtualBox 18.04 很慢——如何使可用? 6
为什么我的 Ubuntu 18.04 滞后?而且使用鼠标也有困难,不流畅 5
当应用程序全屏显示但鼠标移动时 Ubuntu 屏幕冻结 5
如何获取我最近安装的更新的日志? 2
难疑归档
如何检查我的服务器上是否安装了软件包? 266
如何将 SSH 密钥添加到 authorized_keys 文件? 230
从终端设置时区 220
Git 有 GUI 客户端吗? 220
如何使用rsync排除多个目录? 219
Ubuntu 服务器的 Chkconfig 替代方案? 145
如何在 Unity 任务切换器上取消组合窗口? 141
禁用网络服务发现:这对我意味着什么? 138
apt 给出“不稳定的 CLI 界面”警告 138
如何/在哪里检查我的 ubuntu 笔记本电脑的 CPU 使用率? 120