悲剧发生，ssh密码被暴力了。

xxx · 发表于 2010-6-16 23:12:10

服务器都是空着的，今天发现ssh登不上了。。

赶紧在其他服务器上看看，还好就一台空的服务器被暴力。密码是机房给的，自己太懒没改

然后再每台服务器上看了下。发现日志里面的ip实在多的吓人啊。。

现在给每台服务器都装Denyhosts去

usa · 发表于 2010-6-16 23:13:19

qiqi13245 · 发表于 2010-6-16 23:14:32

经常的事

咯拉无米 · 发表于 2010-6-16 23:14:45

弄好了能发个Denyhosts的配置教程就太感谢了

爱吃鱼的猫 · 发表于 2010-6-16 23:21:33

机房给的密码一般不是强度都很高么

licess · 发表于 2010-6-16 23:31:20

WAKAKA · 发表于 2010-6-16 23:31:58

无聊的人真多

霸武邪皇 · 发表于 2010-6-16 23:37:24

暴力破解V5

xxx · 发表于 2010-6-16 23:39:46

服务器上的secure有很多个，按时间进行截取的，对其中的secure.1文件进行统计。
获取其中的ip地址和数量：

# grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure.1 | sort | uniq

复制代码

检查是否支持 Tcpwrap

复制代码

检查 Python的版本，Python2.3以上版本可以直接安装

复制代码

均达到要求

装好之后
运行

复制代码

就可以看到里面有多少条禁止的记录
查看Denyhost是否在运行中

复制代码

附带denyhosts.cfg详解，比6楼发的更详细

----------------denyhosts.cfg--------------------------------------
SECURE_LOG = /var/log/secure #ssh 日志文件，它是根据这个文件来判断的，如还有其他的只要更改名字即可，例如将secure改为secure.1等
HOSTS_DENY = /etc/hosts.deny
#控制用户登陆的文件，将多次连接失败的IP添加到此文件，达到屏蔽的作用
PURGE_DENY =
#过多久后清除已经禁止的，我这里为空表示永远不解禁
BLOCK_SERVICE = sshd
#禁止的服务名，如还要添加其他服务，只需添加逗号跟上相应的服务即可
DENY_THRESHOLD_INVALID = 1
#允许无效用户失败的次数
DENY_THRESHOLD_VALID = 2
#允许有效用户登录失败的次数
DENY_THRESHOLD_ROOT = 3
#允许root登录失败的次数
HOSTNAME_LOOKUP=NO
# 是否做域名反解，这里表示不做
ADMIN_EMAIL = 。。。。
#管理员邮件地址,它会给管理员发邮件
DAEMON_LOG = /var/log/denyhosts
#自己的日志文件
其他：
AGE_RESET_VALID=5d #（h表示小时，d表示天，m表示月，w表示周，y表示年）
AGE_RESET_ROOT=25d
AGE_RESET_RESTRICTED=25d
AGE_RESET_INVALID=10d
#用户的登陆失败计数会在多长时间后重置为0
RESET_ON_SUCCESS = yes
#如果一个ip登陆成功后，失败的登陆计数是否重置为0
DAEMON_SLEEP = 30s
#当以后台方式运行时，每读一次日志文件的时间间隔。
DAEMON_PURGE = 1h
#当以后台方式运行时，清除机制在 HOSTS_DENY 中终止旧条目的时间间隔,这个会影响PURGE_DENY的间隔

复制代码

[ 本帖最后由 xxx 于 2010-6-16 23:48 编辑 ]

forgotten · 发表于 2010-6-16 23:47:00

设置多少次错误后ban IP啊

		自动登录	找回密码
密码			注册

回复 4# 的帖子