LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 2295|回复: 16

系统日志。是不是有人在穷举密码。。?

[复制链接]
发表于 2005-11-9 14:09:44 | 显示全部楼层 |阅读模式
RT。 。谢谢。下面是一部份。
有没好方法解决这样的问题。?
--------------------- SSHD Begin ------------------------


Failed logins from these:
   4388/password from 203.185.57.2: 1 Time(s)
   adam/password from 203.185.57.2: 1 Time(s)
   adine/password from 203.185.57.2: 1 Time(s)
   adm/password from 203.185.57.2: 2 Time(s)
   admin/password from 203.185.57.2: 1 Time(s)
   admin/password from 221.12.60.23: 2 Time(s)
   administrator/password from 203.185.57.2: 1 Time(s)
   ahmed/password from 203.185.57.2: 1 Time(s)
   alan/password from 203.185.57.2: 1 Time(s)
   albert/password from 203.185.57.2: 1 Time(s)
   alberto/password from 203.185.57.2: 1 Time(s)
   alex/password from 203.185.57.2: 1 Time(s)
   alfred/password from 203.185.57.2: 1 Time(s)
   ali/password from 203.185.57.2: 1 Time(s)
   alice/password from 203.185.57.2: 1 Time(s)
   allan/password from 203.185.57.2: 1 Time(s)
   amanda/password from 203.185.57.2: 1 Time(s)
   andi/password from 203.185.57.2: 1 Time(s)
   andres/password from 203.185.57.2: 1 Time(s)
   andrew/password from 203.185.57.2: 1 Time(s)
   angel/password from 203.185.57.2: 1 Time(s)
   angela/password from 203.185.57.2: 1 Time(s)
   angie/password from 203.185.57.2: 1 Time(s)
   anita/password from 203.185.57.2: 1 Time(s)
   anna/password from 203.185.57.2: 1 Time(s)
发表于 2005-11-9 14:26:45 | 显示全部楼层
是的,你修改一下你的ssh端口。或者使用key访问。或者使用iptables来限制ssh的访问都可以。
回复 支持 反对

使用道具 举报

发表于 2005-11-9 17:20:16 | 显示全部楼层
好可怜哦
回复 支持 反对

使用道具 举报

发表于 2005-11-9 19:31:59 | 显示全部楼层
把失败时间调长一点,穷举就没什么戏了。我的SSH经常有这个东西。懒得看。
回复 支持 反对

使用道具 举报

发表于 2005-11-10 12:15:11 | 显示全部楼层
有点像~
回复 支持 反对

使用道具 举报

发表于 2005-12-15 03:45:40 | 显示全部楼层
是看系统上有没有空口令和弱密码的用户。
用一个别人写的脚本,如果ssh登录失败几次后,就block这个IP。
回复 支持 反对

使用道具 举报

发表于 2005-12-20 13:10:28 | 显示全部楼层
习惯就好了哈.恩.习惯习惯
回复 支持 反对

使用道具 举报

奋斗的毛毛虫 该用户已被删除
发表于 2005-12-20 17:12:03 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

发表于 2005-12-20 20:40:02 | 显示全部楼层
我服务器上天天又
回复 支持 反对

使用道具 举报

发表于 2005-12-20 21:32:05 | 显示全部楼层

<转>黑客利用僵尸电脑实施“蛮力”SSH攻击

这是一个能够让最好的IT管理员都打瞌睡的乏味的工作。但是,作为一家美国大型医疗机构的安全和设备管理员,Adam Nunn已经学会了认真地研究他的网络活动日志。他知道坏蛋什么时候要突破他的网络。那些网络日志可以作为网络故障的第一个迹象。

  Nunn采用一种轻松的方法在家中查看网络日志。但是,有一天,他吃惊地发现,有人在一个月的时间里对他的个人网络服务器进行了1000多次蛮力攻击。

  “除非你查看网络日志,否则,你不会注意到这种攻击”,Nunn说。“事实是,针对我的家庭网络服务器进行的大量的攻击表明,一些更大规模的攻击正在进行之中,而且大型企业是攻击的目标。对大企业的攻击确实让我感到担心。”

  安全研究公司Cyber-Defense的老板David Hoelzer说,Nunn的担心是有道理的。在过去的几个月里,他看到有人对SSH(Secure Shell,安全外壳)进行了大量的蛮力身份识别攻击以及单词表/用户名攻击。同Nunn一样,Hoelzer与其他安全专家的记录进行了比较,发现这种攻击的规模很大。更糟糕的是,黑客利用大量的僵尸电脑实施这种攻击。

  Hoelzer说,如果我是一个IT管理员正在检查我的日志并且首次发现这个问题,我会感到很可怕。这表明,黑客破解SSH的手段正在提高。人们用了很长的时间才从Telnet转换到更安全的SSH。如果你能够从SSH突破网络,这种攻击是加密的,很难跟踪到攻击者。

  据Whatis.com网站介绍,SSH也称作安全接壳(secure socket shell),是一种基于Unix的指令接口和协议,广泛应用于网络管理员远程管理网站和其它服务器的工作中。SSH指令以好几种方式进行加密。客户机和服务器连接的两端使用数字证书进行身份识别,口令以加密的方式进行保护。因此,Hoelzer说,如果有人能够通过SSH突破一个防火墙,那将成为一个大问题。

  僵尸网络(Botnet)比以往任何时候威胁都大

  Hoelzer说,如果你看到某些东西像这样传播,这就意味着攻击者发现了许多人在互联网上运行SSH服务器。因此,这被看作是一个诱人的攻击力量。他说,这使我担心的另一个原因是,攻击者一般不愿意浪费时间。攻击者不会随机实施扫描希望找到攻击目标。如果他们像这样扫描SSH,他们就是找到了可以利用的东西。

  Cyber-Defense网站有一个从事这种行动的合法的主机列表。

  僵尸电脑的影响

  Hoelzer说,这些攻击是迄今为止攻击者如何利用他们劫持的电脑的另一个例子。他说,我注意到,进行扫描SSN安全漏洞的大多数电脑一般都不是真正的攻击者。这些电脑都是被黑客攻破的电脑,并且被利用扫描可以利用的安全漏洞的。对于那些希望找到攻击来源的人们来说,困难的问题不是攻击者在那里,而是被攻破的计算机在那里。

  虽然僵尸电脑队伍是全球性的,但是,他看到的许多从事这种扫描活动的电脑都是来自中国、巴西和美国的被劫持的电脑。大多数这种电脑都是个人电脑或者小企业的电脑。

  多种防线

  Hoelzer劝告IT管理员说,如果有可能的话,要避免把SSH服务器连接到互联网。他说,我对客户说,永远不要把SSH服务器连接到互联网,也不要把做这种事情的任何管理工具连接到互联网。

  Hoelzer说,如果IT部门认为非常有必要进行网络接入,应该进行非常严格的限制。如果我们限制谁可以连接到SSH,那会有很大的不同。他说:“我还告诉人们如果你必须在互联网上使用SSH服务器的话,应该使用证书进行身份识别。这会有效地阻止这种攻击。

  他说,用户还可以学习Nunn的榜样,定期查看这些网络日志。他说,人们习惯于在事情发生之后才查看网络日志。这个事件表明,人们应该定期查看网络日志。人们不愿意查看网络日志是因为这项工作非常乏味。但是,有许多工具软件可以完成这项工作。在Unix环境中,Logcheck是一种很好的工具。 Swatch和SEC(安全事件关联器)也是很好的工具。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表