我的服务器受到攻击。我正在记录这种尝试:
Sep 22 06:39:11 s1574**** sshd[16453]: Failed password for invalid user amber from 64.215.17.4 port 35182 ssh2
Sep 22 04:39:11 s1574**** sshd[16454]: Received disconnect from 64.215.17.4: 11: Bye Bye
Sep 22 06:39:11 s1574**** sshd[16457]: Invalid user amber from 64.215.17.4
Sep 22 04:39:11 s1574**** sshd[16458]: input_userauth_request: invalid user amber
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): check pass; user unknown
Sep 22 06:39:11 s1574**** sshd[16457]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=dns2.rsd.com
Sep 22 06:39:11 s1574**** sshd[16457]: pam_succeed_if(sshd:auth): error retrieving information about user amber
Sep 22 06:39:14 s1574**** sshd[16457]: Failed password for invalid user amber from 64.215.17.4 port 35842 ssh2
Sep 22 04:39:14 s1574**** sshd[16458]: Received disconnect from 64.215.17.4: 11: Bye Bye
我能做些什么来阻止这种访问尝试,比如当超过 3 个拒绝时阻止 ip
您可以使用 限制每分钟的登录尝试次数iptables。此类规则将在 3 次登录尝试后阻止 IP 一分钟(摘自极客日记 – 使用 Netfilter 和recent模块缓解 SSH 蛮力攻击):
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m 最近 --set --name SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_WHITELIST iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m 最近 --update --seconds 60 --hitcount 4 --rttl --name SSH -j ULOG --ulog-prefix SSH_brute_force iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m 最近 --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
如果您想要更多可配置的 sikytion,您可以使用fail2ban或DenyHosts来分析 SSHd 日志并阻止可疑 IP 地址。
| 归档时间: |
|
| 查看次数: |
10289 次 |
| 最近记录: |