标签: brute-force-attacks
获取 Fail2Ban 以每 X 分钟检查一次查找时间
我已经fail2ban设置了以下设置:
bantime = 86400
findtime = 600
maxretry = 2
这很棒,因为它可以阻止任何在 10 分钟内暴力破解 3 次的 IP。但是,有些 IP 每 30 分钟左右尝试一次。为了捕获这些 IP,我将设置更改为:
bantime = 86400
findtime = 3600
maxretry = 2
现在,它每小时检查一次并捕获其中每 20-30 分钟尝试一次的一些 IP。但是,现在我的 VPS 没有捕获可能会在一个小时内进行高级别暴力破解的 IP。
因此,有没有办法设置findtime = 3600并且fail2ban每 10 分钟检查一次?
推荐指数
解决办法
查看次数
如果我发现有人暴力破解我的服务器密码,我该怎么办?
我刚刚检查了我的 vps 上的事件日志,发现有人在强制使用我的 sql server sa 密码和 windows 管理员密码。(我已将帐户名从管理员更改为其他名称,但他们使用的是正确的帐户名!)
我能做些什么来阻止他们这样做吗?我的操作系统是 Windows Server 2008 R2 和 SQL Server 2008 R2 Express。
编辑:似乎攻击 IP 地址不断变化。所以阻止他们需要很多努力。
推荐指数
解决办法
查看次数
如何在 cPHulk 蛮力攻击设置中将一系列 IP 列入黑名单
有谁知道如何在 cPHulk Brute Force 攻击设置中定义要列入黑名单的 IP 范围?
我被 IPS 103.26.193.* 和 103.26.194.* 轰炸
我用谷歌搜索,找不到 IP 范围的具体说明或设置
步骤 1 - 输入带星号 (*) 的范围:
第 2 步 - 更新黑名单(未成功):
按照下面的@rholmes 回答并使用这些设置来阻止外国黑客:
1.0.0.0/8
10.0.0.0/8
103.0.0.0/8
105.0.0.0/8
108.0.0.0/8
109.0.0.0/8
11.0.0.0/8
111.0.0.0/8
112.0.0.0/8
113.0.0.0/8
114.0.0.0/8
115.0.0.0/8
116.0.0.0/8
117.0.0.0/8
118.0.0.0/8
119.0.0.0/8
12.0.0.0/8
120.0.0.0/8
121.0.0.0/8
122.0.0.0/8
123.0.0.0/8
124.0.0.0/8
125.0.0.0/8
13.0.0.0/8
132.0.0.0/8
14.0.0.0/8
141.0.0.0/8
147.0.0.0/8
15.0.0.0/8
16.0.0.0/8
17.0.0.0/8
173.0.0.0/8
175.0.0.0/8
176.0.0.0/8
177.0.0.0/8
178.0.0.0/8
18.0.0.0/8
180.0.0.0/8
181.0.0.0/8
182.0.0.0/8
183.0.0.0/8
186.0.0.0/8
187.0.0.0/8
188.0.0.0/8
189.0.0.0/8
19.0.0.0/8
190.0.0.0/8
193.0.0.0/8
194.0.0.0/8
195.0.0.0/8
196.0.0.0/8 …推荐指数
解决办法
查看次数
如何停止或防止 Postfix / smtpd / Sasl 暴力破解
有许多尝试连接到我的邮件服务器,以便发送未经身份验证的邮件或猜测用户名和密码,我想,可以完成相同的任务。
我应该像在 ssh 情况下一样反对这一点吗?如何?
请注意:我对fail2ban 的经历很糟糕。
推荐指数
解决办法
查看次数
蛮力攻击的最佳禁止持续时间是多少?
我使用 fail2ban 来防止对我的生产服务器的暴力攻击。Fail2ban 在 5 次身份验证失败后禁止一个 ip,并在 1 小时后使用我自己的配置取消禁止。我想知道最佳禁令持续时间是多少,还是我真的需要再次取消禁令?永久禁止 ip 是最好的解决方案吗?
推荐指数
解决办法
查看次数
来自我的服务器的强力攻击
我照顾的其中一台服务器似乎参与了对 Wordpress 安装的暴力攻击。
我已经多次处于这种情况的接收端,因此非常熟悉可以采取哪些步骤来防止这种情况发生。然而,我正在努力解决的是检测传出攻击。该服务器是一个典型的 Apache 服务器,上面有许多虚拟主机——这当然是复杂的地方——如果那里只有一个,那就不会那么困难了!
我目前正在使用 tcpflow 使用以下命令记录从该服务器上的任何端口到任何其他机器上的端口 80 的流量:
tcpflow -i eth0 dst port 80 and src host <my_servers_ip> and port not 22
我发现这比 tcpdump 更可取。过一会儿查看它的输出可能会让人有些费解:) tcpflow 将每个请求放入一个单独的文件中..
这是我认为是可疑活动的文件的一些输出:
POST /wp-login.php HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
Host: somedomain.com
Accept: */*
Cookie: wordpress_test_cookie=WP+Cookie+check
Content-Length: 97
Content-Type: application/x-www-form-urlencoded
log=jacklyn&pwd=london&wp-submit=Log+In&redirect_to=http://somedomain.com/wp-admin/tes1a0&testcookie=1
请注意,我已经混淆了上面的“主机:”,我相信这是被攻击的主机(这是正确的吗?)。
所以我的问题真的是,我该如何检测产生这种恶意流量的虚拟主机?如果我能做到这一点,我可以让我的客户知道,他可以采取措施调查该网站并进行必要的更改以阻止它。
非常感谢收到任何解决方案:)
推荐指数
解决办法
查看次数
我如何才能对抗所有这些蛮力攻击?
我有 3 台专用服务器,均运行位于加拿大的 CentOS。
在最新的服务器上,cPHulk 开始检测(并列入黑名单)失败的登录尝试。从服务器上线的那一天开始。从那时起,我每天都会收到 15-30 封来自 cPHulk 的电子邮件,告诉我“有大量失败的登录尝试”。
我注意到所有的尝试都来自中国,所以我安装了 csf 并完全阻止了中国。几天后,袭击又回来了,但来自不同的国家。到目前为止,我已经出于绝望阻止了四个国家/地区,但我知道这不是合法的解决方案。现在他们来自我无法阻止的国家,因为我可以期待来自这些国家的合法流量。
我还收到了似乎与某个国家/地区无关的 IP 的攻击,如下图所示:
我不担心他们会猜出密码,因为我使用的密码非常强。
所以我的问题是,他们为什么要瞄准我的服务器,他们是如何这么快找到它的?如何在不阻止整个国家/地区的情况下减少这些登录尝试?屏幕截图中的 IP 来自哪里?我唯一的猜测是,不知何故,我被分配了一个声誉不佳的 IP,但我的服务器管理经验和知识有点有限,所以我什至不知道这是否合理。
推荐指数
解决办法
查看次数
如何保护服务器免受 cgi-bin/php POST 请求攻击
我们向我们的服务器发送了一个 POST 请求,其中包含以下内容:
%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%F%69%6E%70%75%74+%2D%6E
使用 url 解码这转化为:
cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env file=php://input -n
它似乎类似于Ubuntu 14.04 上通过 Nginx 的奇怪 URL 请求,恶意用户试图做什么?. 请求在什么情况下会起作用?我从日志中看到我们发送了 404,但我想确保我们没有任何其他可能容易受到攻击的盒子。
推荐指数
解决办法
查看次数
Nginx:速率限制失败基本身份验证尝试
在 Nginx(撰写本文时为 1.14.1)中给出一个简单的 HTTP 基本身份验证设置,如下所示:
server {
...
location / {
auth basic "HTTP Auth Required";
auth basic user file "/path/to/htpasswd";
}
}
...如何对失败的登录尝试应用速率限制?例如,如果 30 秒内有 10 次登录尝试失败,我想阻止该源 IP 在一个小时内访问该网站。我希望利用limit_req_zone和 相关指令,但找不到一种方法来连接请求的身份验证状态。
这在 HAproxy 中相当简单,使用棒表和 ACL,使用类似以下工作示例的内容。
userlist users
user me password s3cr3t
frontend https.local
...
# Set up the stick table to track our source IPs, both IPv4 & IPv6
stick-table type ipv6 size 100k expire 1h store http_req_rate(30s)
# Check if the user has authenticated
acl auth_ok http_auth(users) …推荐指数
解决办法
查看次数
Grokking 复杂的字典攻击
我的一台服务器似乎正在对 ssh 进行复杂的字典攻击,因为我看到一堆用户名在我的服务器上按字母顺序尝试使用,但密码失败。
不寻常的事情是:
- 每 2 分钟只有一次尝试
- 每次尝试都来自不同的 IP 地址
你能帮我理解如何从不同的 IP 地址做到这一点,它可以被有效地阻止吗?攻击的缓慢持久性(可能需要几个月的时间来完成字母表)是否意味着什么?
我也很想知道是否有其他人目前在他们的公共 ssh 服务器上看到类似的活动(即我们是特定目标,还是这个攻击者用这种攻击覆盖了数千个 ssh 服务器?)
另外,有什么方法可以让我透露正在尝试的密码(甚至哈希)?我注意到每个名字只被尝试过一两次。我假设他们正在尝试“密码”或用户的用户名 - 但我可以验证这一点吗?
推荐指数
解决办法
查看次数