系统日志。是不是有人在穷举密码。。？

sysit

Post by admin_cl
这是一个能够让最好的IT管理员都打瞌睡的乏味的工作。但是，作为一家美国大型医疗机构的安全和设备管理员，Adam Nunn已经学会了认真地研究他的网络活动日志。他知道坏蛋什么时候要突破他的网络。那些网络日志可以作为网络故障的第一个迹象。

别贴这些东西，看着难受; 一看就是外行写的东西。

看日志是系统管理员的习惯，别人对你的电脑一次扫描就不止1000次ssh登陆尝试了，象文中所说的那样紧张，管理员都别活了。

kissingwolf

编写如下脚本
/root/iptables/chksship.sh

1. 
   
2. #!/bin/bash
   
3. 
   
4. SECURE_FILE_NAME="/var/log/secure"
   
5. CHKSSHIP_LOG_DIR="/var/log/chksship"
   
6. IPTABES_FILE="/sbin/iptables"
   
7. OUT_TIME=`date +%F-%H-%M`
   
8. TEMP_FILE="/tmp/chsshtmp"
   
9. ROLL_FILE_NAME="$CHKSSHIP_LOG_DIR/output"
   
10. LAST_FILE_NAME="$CHKSSHIP_LOG_DIR/lastfilename"
    
11. 
    
12. if [ ! -d $CHKSSHIP_LOG_DIR ]; then
    
13.         mkdir $CHKSSHIP_LOG_DIR
    
14. fi
    
15. 
    
16. if [ -f $LAST_FILE_NAME ] && [ $(wc -l $LAST_FILE_NAME|awk '{print $1}') != 0  ]; then
    
17.         for ip in `cat $LAST_FILE_NAME` ; do
    
18.                 $IPTABES_FILE -D INPUT -s $ip -j DROP
    
19.         done
    
20. fi
    
21. 
    
22. awk '/Failed/ {print $13}' $SECURE_FILE_NAME | grep "[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}" | sort -n | uniq -c  >>$TEMP_FILE
    
23. 
    
24. awk '{ if ( $1>4 ) print $2 }' $TEMP_FILE >$LAST_FILE_NAME
    
25. 
    
26. echo "$OUT_TIME" >> $ROLL_FILE_NAME
    
27. sort -rn  $TEMP_FILE >>$ROLL_FILE_NAME
    
28. rm -rf $TEMP_FILE
    
29. 
    
30. 
    
31. for ip in `cat $LAST_FILE_NAME` ; do
    
32.         $IPTABES_FILE -A INPUT -s $ip -j DROP
    
33. done
    

复制代码

定义计划任务:
*/5 * * * *  /root/iptables/chksship.sh

打开你的iptables ,然后世界就清净了!

Yuri

Post by 终极幻想
把失败时间调长一点，穷举就没什么戏了。我的SSH经常有这个东西。懒得看。

这个怎么调啊?

wgmaster

Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o
n dev eth0
Dec 19 16:08:49 localhost kernel: ll header: ff:ff:ff:ff:ff:ff:00:07:e9:2a:8d:0c
:08:06
Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o
n dev eth0
Dec 19 16:08:49 localhost kernel: ll header: ff:ff:ff:ff:ff:ff:00:07:e9:2a:8d:0c
:08:06
Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o
n dev eth0
Dec 19 16:08:49 localhost kernel: ll header: ff:ff:ff:ff:ff:ff:00:07:e9:2a:8d:0c
:08:06
Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o
n dev eth0
Dec 19 16:08:49 localhost kernel: ll header: ff:ff:ff:ff:ff:ff:00:07:e9:2a:8d:0c
:08:06
Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o

晨想

Post by Yuri
这个怎么调啊?

我说错了，我是改MaxAuthTries的，每次只能认证一次。
MaxStartups，只能有一个不认证的连接打开。

我记得用pam可以做到，但是我忘记怎么弄了：（。就是每次延时几秒，就算成功登录也延时，就可以了。

晨想

Post by wgmaster
Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o
n dev eth0
Dec 19 16:08:49 localhost kernel: ll header: ff:ff:ff:ff:ff:ff:00:07:e9:2a:8d:0c
:08:06
Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o
n dev eth0
Dec 19 16:08:49 localhost kernel: ll header: ff:ff:ff:ff:ff:ff:00:07:e9:2a:8d:0c
:08:06
Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o
n dev eth0
Dec 19 16:08:49 localhost kernel: ll header: ff:ff:ff:ff:ff:ff:00:07:e9:2a:8d:0c
:08:06
Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o
n dev eth0
Dec 19 16:08:49 localhost kernel: ll header: ff:ff:ff:ff:ff:ff:00:07:e9:2a:8d:0c
:08:06
Dec 19 16:08:49 localhost kernel: martian source 10.130.254.7 from 10.130.1.5, o

这个有一个包从一个合理的端口进来了。（比如一个B地址的包从你的C地址网卡进来了）

yuxans

ssh 的穷举密码太常见了，我的 server 上每天至少 6K+ 这样的失败记录，管好密码是最重要的。
root 的 ssh 直接登录一定要禁止。