标签: brute-force-attacks

我最近收到了将密码设置为 20 个字符以上的建议。用于加密的算法是具有 256 位主密钥的 AES。比如说，8 个字符的密码对于破解加密文件的蛮力攻击有多安全？

我知道这在大多数网站上被认为是一个很好的密码大小。原因之一是他们可以在 3 次左右的尝试后停止攻击。

我需要为 MySQLd 打开网络，但每次我这样做时，服务器都会被强行遗忘。一些恶意的密码猜测脚本开始攻击服务器，打开端口 3306 上的连接并永远尝试随机密码。

我怎样才能阻止这种情况发生？

对于SSH，我使用denyhosts，效果很好。有没有办法让拒绝主机与 MySQLd 一起工作？

我也考虑过更改运行 MySQL 的端口，但这不太理想，只是一个权宜之计（如果他们发现新端口怎么办？）

有没有人有其他想法？

如果情况不同，我将在 FreeBSD 6.x 上运行 MySQL 5.x。

我们运行社区产品。在过去的 6 个月里，英国有一个人（一个 PoS 小孩）一直在骚扰我们的网站。他的日常任务是创建一个新帐户，发布一堆非法/煽动性内容，引起人们的注意，然后在几个小时内被管理员删除。然后重复。

每次创建新帐户（使用代理或其他类似工具）时，他的 IP 地址都会更改。唯一的共同点是顶级 92.xxx 我们已经尝试联系英国当局...虽然他们有兴趣，但他们没有提供任何可操作的信息。与此同时，这种骚扰每天都在继续。

任何人都有关于如何杀死它的经验？我在这里几乎没有智慧，希望以前处理过这个问题的人可以提供一些指导。

提前谢谢。

我想挑选社区关于 linux 服务器安全性的大脑，特别是关于蛮力攻击和使用fail2ban与自定义iptables。

那里有一些类似的问题，但没有一个能解决我满意的主题。简而言之，我正在尝试确定最佳解决方案来保护暴露在互联网上的 linux 服务器（运行通常的服务、ssh、web、邮件），免受暴力攻击。

我对服务器安全有很好的处理，即通过不允许 root 或密码登录来锁定 ssh，更改默认端口，确保软件是最新的，检查日志文件，只允许某些主机访问服务器并利用安全性审计工具，如Lynis ( https://cisofy.com/lynis/ )，用于一般安全合规性，因此这个问题不一定与此有关，尽管始终欢迎输入和建议。

我的问题是我应该使用哪种解决方案（fail2ban 或 iptables），我应该如何配置它，或者我应该使用两者的组合来防止暴力攻击？

关于该主题有一个有趣的回应（Denyhosts vs fail2ban vs iptables-防止暴力登录的最佳方法？）。对我来说，最有趣的答案是个人（https://serverfault.com/a/128964），而且iptables的路由发生在内核，而不是的fail2ban这使得用户的使用模式工具来分析日志文件。Fail2ban 当然使用 iptables，但它仍然必须解析日志文件并匹配模式，直到它执行操作。

那么使用 iptables 并使用速率限制（https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/）在一段时间内删除来自 IP 的请求是否有意义在特定时间段内进行过多连接尝试的时间，而不管它尝试连接到什么协议？如果是这样，那么这里有一些关于对这些数据包使用丢弃与拒绝的有趣想法（http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject），对此有什么想法吗？

Fail2ban 允许以能够为默认配置中可能无法解决的服务编写自定义“规则”的形式进行自定义配置。它易于安装和设置并且功能强大，但是如果我试图实现的只是“阻止”来自服务器的 IP，如果他们对任何服务/协议进行 2 次失败的访问尝试超过x数量，这会不会是一种矫枉过正时间？

此处的目标是打开每日日志监视报告，而不必滚动浏览尝试连接到服务器的失败页面。

感谢您抽出宝贵的时间。

我正在尝试将 iptables 规则设置为每分钟仅允许 3 次 IP 尝试通过 SSH 连接到 servir，然后断开所有连接以防止 SSH 攻击；但似乎我做错了什么！

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --name DEFAULT --rsource -j DROP
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

谢谢

用户开始抱怨网络速度慢，所以我启动了 Wireshark。查了一下，发现很多PC都在发送类似下面的数据包（截图）：

我模糊了用户名、计算机名和域名的文本（因为它与互联网域名匹配）。计算机正在向 Active Directory 服务器发送垃圾邮件，试图暴力破解密码。它将以管理员开头，并按字母顺序向下排列用户列表。实际访问 PC 时发现附近没有任何人，而且这种行为会在网络上传播，因此它似乎是某种病毒。使用 Malwarebytes、Super Antispyware 和 BitDefender（这是客户端的防病毒软件）扫描被发现向服务器发送垃圾邮件的计算机不会产生任何结果。

这是一个拥有大约 2500 台 PC 的企业网络，因此重建不是一个有利的选择。我的下一步是联系 BitDefender，看看他们可以提供什么帮助。
有没有人看到过这样的事情或有任何想法可能是什么？

我的 Web 服务器 (apache2) 不断受到恶意机器人的攻击，要求提供以下 URL：

   /blog/tag/pnphpbb2//index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 301

   //index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 200

   /wiki/index.php/Main:Some_Wiki_Pagename//index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 200

   /wiki/index.php//index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 200

   /blog/2009/01/title-of-post-here//index.php?name=PNphpBB2&file=posting&mode=quote/index.php?name=PNphpBB2&file=viewtopic&p=34004/viewtopic.php?p=15&sid=be4c914eb746ac7c96beea717fdfc692/&highlight=../../../../../../../../../../../../../etc/passwd%00 HTTP Response 301

我想要一个每晚的 cron 进程来查找任何请求“恶意”URL 的主机，并将它们添加到与 hosts.deny 等效的 HTTP 中。

我想会有一组定义恶意 URL 的正则表达式，可能还有一些 apache 插件可以轻松地拒绝主机（无需每晚重新启动 httpd）。

这样的东西存在吗？

我今天和一个合作伙伴一起工作，我需要使用scp. 我在服务器的 SSH 配置中关闭了密码，所以我希望他们使用公钥身份验证。我在服务器上为他们生成了密钥对，并给了他们私钥并将公钥放在适当的authorized_keys文件中。

在他们设置工作遇到了一系列问题之后，他们终于让一个更有经验的系统管理员参与进来，他责骂我以这种方式处理密钥生成。他说，通过给他们一个在我的系统上生成的私钥，我使他们能够对同一台服务器上生成的其他密钥进行暴力攻击。

我什至问他“所以如果我在服务器上有一个帐户，我可以用密码登录，但我想自动化一些东西，我在那个系统上生成一个密钥对，那么这是否会给我一个攻击向量来强制其他人用户的钥匙？” 他说是的。

我从来没有听说过这个，是真的吗？任何人都可以指出我对这次攻击的讨论吗？

我们在数据中心托管了一台 Windows 2012 R2 服务器，我们使用 RDP 进行管理。已启用自动更新。

管理员帐户不允许 RDP 登录，并且有多个用户帐户启用了 RDP。

我最近在日志中发现，正在进行暴力攻击，目标是服务器上实际存在的帐户之一。仔细查看日志，我发现最近至少有 3 个帐户被锁定。这不可能是巧合，因为帐户名称很复杂。

我现在已经限制了与我公司 IP 的连接，问题解决了（我知道以前应该这样做，但我们有理由不这样做）。

但是，我仍然想知道攻击者是如何获得帐户名称的。它是 RDP 的已知安全漏洞吗？

编辑：有一些元素我没有提到：这个服务器是一个虚拟机，这个虚拟机和虚拟机管理程序（Windows 2012 R2 也是）都在路由器后面，共享相同的公共 IP。RDP 使用一个非默认的公共端口进行 NAT，这是唯一的 NAT 端口。这台机器托管一个 HTTP 服务器 (kestrel)，只能通过安装在另一台机器上的反向代理 (nginx) 访问。

我们setup.php在访问日志中看到很多对不存在文件的请求（见下文）。对于我们的一些使用重写规则的客户端，这些请求中的每一个都会导致执行 PHP 脚本，从而导致服务器速度相当慢并产生不必要的流量。

是否可以快速拒绝此类请求？我正在考虑指定一个拒绝所有setup.php相关查询的通用拒绝规则，但这可能不是正确的方法。有什么建议？

217.115.202.30 - - [17/Nov/2010:09:13:35 +0100] "GET /PHPMYADMIN/scripts/setup.php HTTP/1.1" 404 2452 "-" "ZmEu"
217.115.202.30 - - [17/Nov/2010:09:13:35 +0100] "GET /PMA/scripts/setup.php HTTP/1.1" 404 2444 "-" "ZmEu"
217.115.202.30 - - [17/Nov/2010:09:13:39 +0100] "GET /PMA2005/scripts/setup.php HTTP/1.1" 404 2449 "-" "ZmEu"
217.115.202.30 - - [17/Nov/2010:09:13:47 +0100] "GET /SSLMySQLAdmin/scripts/setup.php HTTP/1.1" 404 2452 "-" "ZmEu"
217.115.202.30 - - [17/Nov/2010:09:13:42 +0100] "GET /SQL/scripts/setup.php HTTP/1.1" 404 2446 "-" "ZmEu"
217.115.202.30 - - [17/Nov/2010:09:13:49 +0100] "GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 2448 "-" "ZmEu" …