日常记录

检查SSH端口是否被攻击/检查失败登录

12 02月
作者:6912809|分类:网络安全|标签:ssh安全

SSH端口暴露在公网上很可能被黑客扫描,并尝试登入系统。这种攻击基本每天都在发生。

之前因为服务器里没有什么重要的东西,也就一直没有关注过登陆日志,

刚才在配置ssh chroot出现错误是才去看的auth.log,

记得这个文件就是个登陆日志,而且我之前偶尔查看时都很少内容,所以就直接cat查看了,

谁知道竟然是满屏满屏的,"Failed password for root XXX.XXX.XXX.XXX",等了将近一分钟仍然不见底,

最后只好Ctrl+c提前结束,于是分享一下教程

一、检查攻击来源

btmp文件会记录SSH端口登录失败的信息,包括尝试的用户名、IP地址和时间等信息。


btmp为二进制文件,文件路径为/var/log/btmp,直接查看这个文件太大了


1. 查看文件btmp

使用命令lastb可以查看文件btmp的信息,参数-n可以指定显示数量。


lastb -n 10 | tac

image.png

2. 查看攻击者IP及攻击次数

lastb | awk '{ print $3}' | sort | uniq -c | sort -n

image.png

image.png

这里看到 218.92.0.210 尝试登录了10054次

3. 查看攻击者尝试的用户名

lastb | awk '{ print $1}' | sort | uniq -c | sort -n

image.png

image.png

使用最多的登录用户名是root 其次是admin

4. 分析攻击者

对攻击次数第一的IP进行分析。


查看攻击开始时间


lastb | grep 218.92.0.210

image.png

查看攻击终止时间


lastb | grep 218.92.0.210  | tac

image.png

查看IP地理位置


curl ipinfo.io/218.92.0.210

image.png

二、防范措施

1. 修改SSH端口

修改SSH端口可以避免广撒网式的端口扫描及后续的攻击。


打开文件sshd_config


vim /etc/ssh/sshd_config

image.png

修改参数Port


修改前:


#port 22


修改后:


port 1122


重启SSH守护程序


systemctl restart sshd


2. 设置复杂密码

设置密码为字母+数字+符号组合,提升暴力破解难度。


3. 使用私钥登录

网上教程很多,可以自行补习


打赏
浏览12.9k 评论0
返回
目录
返回
首页

除特别注明外,本站所有文章均为七原创,转载请注明出处来自http://qxhut.cn/?id=31

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络收集整理,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!

VMware Workstation 17 Pro最新版/新功能、安装升级教程(附激活码) iozone文件系统测试工具在RK3568上的移植

发表评论