停止处事器成为肉鸡的应对法子

在公网中时时候刻都有人通过暗码字典暴力破解试图登岸你的处事器，不信请看该日记文件巨细du -sh `ls /var/log | grep btmp，该文件存储了ssh失败登岸的记录。文件越大/增添越快，声名你的处事器处于被别人暴力破解的伤害中!为了停止这种伤害，必需做好两点：

• 修改SSH默认端口，
• 行使强口令暗码，不想看胡扯的请直接跳到后头。

整个收集空间中着实存在着许多弱口令处事器，假设弱口令处事器的用户名都为root、暗码都为123456、SSH登岸端口都为默认的22。我有一台处事器在不断的用暗码字典登岸这些弱口令呆板，乐成登岸的呆板作为肉鸡(傀儡)继承登岸此外呆板，假设一台处事器以2台/天的速率举办登岸，那么第一天我就有三台呆板(包罗本身的那台)，第二天就是6+3=3^2=9台，第三天就是18+9=3^3=27台，第N天就是3^N台。

看到没有，肉鸡/傀儡处事器是以指数级别在增进的!

为什么有人不断登岸别人的呆板，得到肉鸡?假如我手上有来自全天下的肉鸡，而且数目许多，那玩儿法可就多了：

• 看不惯哪个网站?哄骗这些傀儡呆板不断的哀求该网站，让别人没法用，处事瘫痪，这就是传说中的DDoS进攻(漫衍式拒绝处事进攻)。
• 想赚点小钱，偷偷挖矿是你不二的选择，这么多肉鸡，固然每一台计较手段不怎么样，可是连系起来也不容小。这种肉鸡俗称发掘鸡
• 肉鸡做署理?这个话题我就不深说了，大陆敏感话题… …
• 窥伺肉鸡主人数据… 满意窥伺欲
• 这么多肉鸡代表你有这么多IP，有大量IP醒目什么?这又是其它一个复杂的话题了… …

一、基本常识

/var/log/wtmp用于记录登录乐成的用户的信息，是一个二进制文件，只能通过 last呼吁来查察

root pts/0 100.87.41.98 Sat Feb 16 01:28 still logged in  
root pts/2 100.87.41.98 Fri Feb 15 11:38 - down (01:35)  
root pts/1 100.87.41.98 Fri Feb 15 11:38 - down (01:35)  
root pts/0 100.87.41.98 Fri Feb 15 11:38 - down (01:35) 

查察实行恶意登岸的前十个IP:

sudo lastb | awk '{ print $3}' | awk '{++S[$NF]} END {for(a in S) print a, S[a]}' | sort -rk2 |head 

查察恶意IP实行登岸次数:

lastb | awk '{ print $3}' | sort | uniq -c | sort -n 

虽然，假如你要整理这个日记，删除在建设之

rm -rf /var/log/btmp 
touch /var/log/btmp 

/var/log/btmp用于记录登录失败的用户的信息，是一个二进制文件，只能通过 lastb呼吁来查察

ejabberd ssh:notty 123.207.233.84 Sat Feb 16 02:08 - 02:08 (00:00)  
rsync ssh:notty 157.230.102.166 Sat Feb 16 02:08 - 02:08 (00:00)  
ejabberd ssh:notty 123.207.233.84 Sat Feb 16 02:08 - 02:08 (00:00)  
rsync ssh:notty 157.230.102.166 Sat Feb 16 02:08 - 02:08 (00:00) 

/var/log/lastlog用于记任命户的汗青登录环境，是一个二进制文件，只能通过 lastlog呼吁来查察

Username Port From Latest 
root pts/0 100.87.41.98 Sat Feb 16 01:28:34 +0000 2019 
bin **Never logged in** 
daemon **Never logged in** 
adm **Never logged in** 

/var/run/utmp用于记录当前登录的用户的信息，是一个二进制文件，只能通过 who呼吁来查察

root pts/0 2019-02-16 01:28 (100.87.41.98) 

二、修改SSH默认端口

情形：CentOS 7

步调：新增SSH端口–>>重启sshd处事–>>添加防火墙法则–>>实行新端口登岸–>>封锁原先的22端口

1. 新增SSH端口(列：1000)

vi /etc/ssh/sshd_config 

找到Port 22这行，将前面的注释去掉，再加一行Port 1000，如下，这样做的目标是防备新端口登岸不上，老端口也不能用!

Port 22 
Port 1024 
#AddressFamily any 
#ListenAddress 0.0.0.0 
#ListenAddress :: 

2. 重启sshd处事

假如是CentOS 7行使systemctl restart sshd，查察端口是否见效可以用systemctl status sshd

假如是CentOS 7早年的体系，行使/etc/init.d/sshd restart可能service sshd restart

重启往后可以当地测试一下端口通没通，telnet 127.0.0.1 1000

3. 添加防火墙法则

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!