避免肉鸡的服务器对策

发布者:上海IT外包来源:http://www.lanmon.net点击数:1050

在公共网络中,人们试图通过密码字典蛮力登录到您的服务器。不要信任日志文件大小du -sh`ls/var/log | grep btmp,此文件存储ssh失败登录的记录。文件越大/增长越快,您的服务器就越有可能被其他人攻击!为了避免这种危险,你必须做两件事:
修改SSH默认端口。
使用强密码密码,如果您不想看到废话,请直接跳到后面。
整个网络空间中实际上有许多弱密码服务器。假设弱密码服务器的用户名为root,密码为123456,SSH登录端口为默认22.我有一台服务器使用密码字典登录这些弱密码机。成功以肉鸡(傀儡)身份登录的计算机将继续登录到另一台计算机。假设服务器以2个单位/天,然后是第一天登录。我有三台机器(包括我自己的一台),第二天是6 + 3=3 ^ 2=9,第三天是18 + 9=3 ^ 3=27,第N天是3 ^ N站。
服务器攻击
看不,肉鸡/傀儡服务器正在以指数级增加!
为什么人们不断登录其他人的机器并获得肉鸡?如果我有来自世界各地的肉鸡,并且有很多肉鸡,那么有更多的方法可以玩:
我不知道使用哪个网站?操纵这些机器不断询问网站,以便其他人无法使用它,而且服务很尴尬。这是传说中的DDoS攻击(分布式拒绝服务攻击)。
想赚一点钱,秘密采矿是你最好的选择,所以很多肉鸡,虽然每个计算能力都不好,但组合不小。这种肉鸡通常被称为挖鸡。
肉鸡是代理商吗?我不会谈论这个话题,大陆敏感话题..
窥视肉鸡主数据..对窥淫癖感到满意
如此多的肉鸡意味着你有这么多的IP,很多IP可以做什么?这是另一个巨大的话题..
首先,基础知识
/var/log/wtmp用于记录成功登录的用户的信息。它是二进制文件,只能通过最后一个命令查看。
Root pts/0 100.87.41.98 Sat Feb 16 01: 28仍然登录Root pts/2 100.87.41.98 Fri Feb 15 11: 38  -  down(01: 35)
Root pts/1 100.87.41.98 Fri Feb 15 11: 38  -  down(01: 35)
Root pts/0 100.87.41.98 Fri Feb 15 11: 38  -  down(01: 35)
查看前十个IP:尝试恶意登录的情况
Sudo lastb | awk'{print $ 3}'| awk'{++ S [$ NF]} END {for(a in a)print a,S [a]}'| sort -rk2 | head
查看恶意IP尝试登录:
Lastb | awk'{print $ 3}'|排序| uniq -c |排序-n
当然,如果要清理此日志,请在创建中将其删除
Rm -rf/var/log/btmp
触摸/var/log/btmp
/var/log/btmp用于记录无法登录的用户的信息。它是一个二进制文件,只能通过lastb命令查看。
Ejabberd ssh: notty 123.207.233.84 Sat Feb 16 02: 08  -  02: 08(00: 00)
Rsync ssh: notty 157.230.102.166 Sat Feb 16 02: 08  -  02: 08(00: 00)
Ejabberd ssh: notty 123.207.233.84 Sat Feb 16 02: 08  -  02: 08(00: 00)
Rsync ssh: notty 157.230.102.166 Sat Feb 16 02: 08  -  02: 08(00: 00)
/var/log/lastlog用于记录用户的历史登录状态。它是一个二进制文件,只能通过lastlog命令查看。
用户名端口来自最新
Root pts/0 100.87.41.98 Sat Feb 16 01: 28: 34 +0000 2019
Bin **从未登录**
守护进程**从未登录**Adm **从未登录**
/var/run/utmp用于记录当前登录用户的信息。它是一个二进制文件,只能通过who命令查看。
Root pts/0 2019-02-16 01: 28(100.87.41.98)
其次,修改SSH默认端口
环境:CentOS 7
步骤:添加SSH端口 - >
>
重启sshd服务 - >
>
添加防火墙规则 - >
>
尝试新的端口登录 - >
>
关闭原来的22端口
1.添加SSH端口(列:1000)
Vi/etc/ssh/sshd_config
找到端口22行,删除以前的注释,并添加一行1000端口,如下所示,这样做的目的是防止新端口登陆,旧端口无法使用!
港口22
端口1024
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress:
2.重新启动sshd服务
如果CentOS 7使用systemctl restart sshd,请检查端口是否有效。您可以使用systemctl status sshd。
如果它是CentOS 7之前的系统,请使用/etc/init.d/sshd restart或service sshd restart
重启后,可以测试端口直通,telnet 127.0.0.1 1000
3.添加防火墙规则
如果是iptables防火墙,请执行以下命令添加规则。
iptables配置文件位置/etc/sysconfig/iptables
添加1000端口规则
Iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1000 -j ACCEPT
保存规则
服务iptables保存
重启服务
服务iptables重启
如果防火墙是防火墙,请按照以下步骤操作:
首先检查防火墙是否已启用,启用返回值运行,反之亦然,不运行
Firewall-cmd --state
如果未启用,则需要启用
Systemctl启动firewalld
Systemctl启用firewalld如果已启用,请继续执行下一步
查看防火墙的默认活动区域(区域)
查看两个命令的返回值是否包含public,如果是,则它是正确的。
Firewall-cmd --get-default-zone
Firewall-cmd --get-active-zones
港口永久开放
为了防止错误,端口22一起打开。
与临时开放的区别在于更多的永久性。
Firewall-cmd --permanent --zone=public --add-port=22/tcp
Firewall-cmd --permanent --zone=public --add-port=1000/tcp
防火墙过载
Firewall-cmd --reload
查看暴露的端口
Firewall-cmd --permanent --list-port
Firewall-cmd --zone=public --list-all
4.尝试新的端口登录
尝试使用1000个端口登录,看看它是否成功!
5.关闭原来的22端口
请参考上面的操作,首先删除ssh配置文件中的22端口,重新启动sshd服务,然后在防火墙配置中删除22端口,重新启动防火墙!这里没有更多细节。
6.将弱密码修改为强密码
输入modify password命令
passwd文件
系统提示
更改用户root的密码。
新密码:
输入密码两次,然后按Enter键。请注意,输入密码时不会显示密码。
重新输入新密码:
Passwd:所有身份验证令牌都已成功更新。
7.推荐:
Shell随机密码生成功能:
生成随机密码($ 1位数)
#echo $(getRandomPwd 10)
#echo $(getRandomPwd)
getRandomPwd(){
NUM=32
如果[$#==1];那么
NUM=$ 1
网络连接
回声'$(日期+%s)$(shuf -i 10000-65536 -n 1)'| sha256sum | base64 | head -c $ num;回声}
8.扩展
虽然修改上面的端口和密码可以大大提高安全性,但在某些情况下您无法修改端口或密码。在这种情况下,您可以推荐DenyHosts或fail2ban,它可以禁止大量IP尝试登录。或者您可以使用最简单的方法查看尝试恶意登录的前十个IP,然后使用防火墙禁用它。这里只是想法。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部