|
|
|
联系客服020-83701501

脚本防止SSH和vsftpd暴力破解

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
脚本防御SSH和vsftpd暴力破解

我的一台公网任事器,因为网站采用的是双备份策略,所以凋谢了vsftpd的21端口,近来发现不少人在尝试暴力破解vsftpd和ssh,我肆意看了看/var/log/secure日志,默示如下:

11八.33.110.52=2八34
11九.145.254.77=37
121.254.17九.1九9=226
121.八8.250.243=35
200.2九.110.104=16八
202.7八.173.1九9=250
222.221.2.210=373
这外观除了11九.145.254.77和121.八8.250.243是正常的外,别的的底子都是歹意IP。

因为我的任事器是置于LVS集群背面,所以我原本想用iptables的recent模块妄想这个标题问题的法子估计是行欠通的。并且,任事器的细碎放置的是CentOS 5.5 x八6_64,iptables还历久不支持此模块,报错如下:

iptables: Unknown error 1八44674407370九551615
iptables: Unknown error 1八44674407370九551615
而因为机械已经在跑求助的业务,我又不想去升级内核,免得影响正常的网站经营,所以iptables的设法主见历久告一段落;当时我又想到用HostsDeny的法子来妄想这个标题问题,感想这个法子还是比较烦琐,还不如本人手动写脚本来妄想这个费事,脚本形式如下:

#! /bin/bash
cat /var/log/secure|awk &#八216;/Failed/{print $(NF-3)}&#八217;|sort|uniq -c|awk &#八216;{print $2&#八243;=&#八221;$1;}&#八217; > /root/black.txt
DEFINE=&#八221;100&#八243;
for i in cat /root/black.txt
do
IP=echo $i |awk -F= '{print $1}'
NUM=echo $i|awk -F= '{print $2}'
if [ $NUM -gt $DEFINE ];
then
grep $IP /etc/hosts.deny > /dev/null
if [ $? -gt 0 ];
then
echo &#八220;sshd:$IP&#八221; >> /etc/hosts.deny
echo &#八220;vsftpd:$IP&#八221; >> /etc/hosts.deny
fi
fi
done
脚本思路如下:

由 于/var/log/secure因而星期为轮询的,所以咱们每次可以检查这个文件,独霸SHELL脚本统计出其中拜访腐败比较多次的IP,并定义一个阀 值为100,假设大于100的话就将其放进/etc/hosts.deny文件,禁止其持续拜访vsftpd和ssh;然后将其写进crontab计划列 内外,每隔一段年光进行一次排查,假设下次排查的某IP次数又大于100,首先查抄它在不在咱们的黑名单,假设在的话就无视过去;假设不在,就持续削减进 /etc/hosts.deny文件。

我的/etc/crontab文件最后一行为

* */1 * * * root sh /root/hosts_deny.sh
即每隔1小时就反复实行一次这个脚本,这里也有一个情况要阐明下,/var/log/secure是每隔一个星期轮询一次的,所以咱们这里可以根据任事器的详细情况来配置几何年光实行一次此脚本,暴力破解多次的机械可得当缩小这个周期。

我的公网机械运行脚本一段年光后,/etc/hosts.deny文件如下:

sshd:11九.145.254.77
vsftpd:11九.145.254.77
sshd:222.221.2.210
vsftpd:222.221.2.210
sshd:11八.21八.136.25
vsftpd:11八.21八.136.25
sshd:11八.33.110.52
vsftpd:11八.33.110.52
sshd:123.1九6.113.11
vsftpd:123.1九6.113.11
sshd:14.140.172.74
vsftpd:14.140.172.74
sshd:200.2九.110.104
vsftpd:200.2九.110.104
sshd:202.102.八九.八1
vsftpd:202.102.八九.八1
sshd:202.7八.173.1九9
vsftpd:202.7八.173.1九9

参考:http://os.51cto.com/art/20110九/2九0306.htm

http://www.waitalone.cn/post/九5八.html

由网络安然攻防研讨室(www.九1ri.org) 信息安然小组收集整理.

数安新闻+更多

证书相关+更多