我想這個問題應該大家都會遇到吧
我手邊兩台 server 一直以來都會有機器人在 try ssh 帳號密碼
一般來說該怎樣處理會比較好呢?
我目前的作法就是密碼換長一點的密碼
這是不是唯一的方法呢…………
機器人一直 try ssh 登入,該怎樣處理會比較好?
版主: 阿信
8 篇文章
• 第 1 頁 (共 1 頁)
機器人一直 try ssh 登入,該怎樣處理會比較好?
由 timeriver » 週三 11月 21, 2007 9:57 pm
"Hope deffered makes the heart sick. But when dreams come true.There is life and joy" proverbs 13:12
- timeriver
- 懵懂的國中生
- 文章: 106
- 註冊時間: 週三 3月 31, 2004 12:02 am
- 來自: 基隆
由 blc » 週三 11月 21, 2007 11:26 pm
$iptables -A INPUT -p tcp -m state --state ESTABLISHED --tcp-flags FIN,ACK FIN,ACK --dport 22 -m recent --name sshattack --set
$iptables -A INPUT -p tcp -m state --state ESTABLISHED --tcp-flags RST RST --dport 22 -m recent --name sshattack --set
$iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set
$iptables -A INPUT -m recent --name sshattack --rcheck --seconds 60 --hitcount 4 -j DROP
$iptables -A INPUT -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -m limit --limit 4/minute -j LOG --log-prefix 'SSH attack: '
$iptables -A INPUT -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j DROP
$iptables -A INPUT --protocol tcp --dport 22 -j ACCEPT
大概是這樣…
這是我在用的,60秒內超過3(還是4?)個封包就斷4分鐘,不過這是很久以前從網路上抄來的,可能有些不合邏輯的地方,用起來是還過得去啦。
另一個方法是用knockd,不過不是很方便就是了…
$iptables -A INPUT -p tcp -m state --state ESTABLISHED --tcp-flags RST RST --dport 22 -m recent --name sshattack --set
$iptables -A INPUT -p tcp --syn --dport 22 -m recent --name sshattack --set
$iptables -A INPUT -m recent --name sshattack --rcheck --seconds 60 --hitcount 4 -j DROP
$iptables -A INPUT -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -m limit --limit 4/minute -j LOG --log-prefix 'SSH attack: '
$iptables -A INPUT -m recent --name sshattack --rcheck --seconds 60 --hitcount 3 -j DROP
$iptables -A INPUT --protocol tcp --dport 22 -j ACCEPT
大概是這樣…
這是我在用的,60秒內超過3(還是4?)個封包就斷4分鐘,不過這是很久以前從網路上抄來的,可能有些不合邏輯的地方,用起來是還過得去啦。
另一個方法是用knockd,不過不是很方便就是了…
- blc
- Tetralet
- 俺是博士
- 文章: 3078
- 註冊時間: 週四 11月 28, 2002 3:02 pm
由 notme » 週五 11月 23, 2007 6:14 pm
CoolBSD 兄想的跟我一樣,我最近剛好遇到 postfix 被 spammers 猛塞信件,雖然 postfix 都能依很多的判斷方法擋下大部份的信件,但是數量太多的連線,卻佔滿了我的 smtpd sessions , 依 postfix iptables 到 google 找了一下,發現了一個好用的軟體 fail2ban ,它可以監視 log 檔,並用 regex 來找出不正常的連線紀錄,然後用 iptables 把那些 ip 擋下來。 我個人認為它最大的優點是可以直接省下 tcp sessions 的資源,在最初的 tcp 連線建立前,就把它給擋掉,而且,要是不想用 iptables 來擋,它也能改用 TCP Wrapper 的方式。
我在使用後,有約略寫了一篇筆記,裏頭有些注意事項也可供想使用的人參考。 可惡的 SPAM Senders part2 : http://54061.blogspot.com/2007/11/spam-senders-part2.html
雖然我的應用是針對 postfix ,但是因為設定過程都是一樣的,應該還是能幫上忙。
我在使用後,有約略寫了一篇筆記,裏頭有些注意事項也可供想使用的人參考。 可惡的 SPAM Senders part2 : http://54061.blogspot.com/2007/11/spam-senders-part2.html
雖然我的應用是針對 postfix ,但是因為設定過程都是一樣的,應該還是能幫上忙。
我是冏的工程師 061 是也~
- notme
- 可愛的小學生
- 文章: 6
- 註冊時間: 週三 5月 07, 2003 12:04 pm
- 來自: 高高的雄
Re: 機器人一直 try ssh 登入,該怎樣處理會比較好?
由 ddd » 週六 11月 24, 2007 9:00 pm
timeriver 寫:我想這個問題應該大家都會遇到吧
我手邊兩台 server 一直以來都會有機器人在 try ssh 帳號密碼
一般來說該怎樣處理會比較好呢?
我目前的作法就是密碼換長一點的密碼
這是不是唯一的方法呢…………
防止暴力攻擊 Linux 終極絕招
作者: A-Lang 日期: 2007-08-24 21:28
http://itblog.blogdns.net/index.php?load=read&id=96
- ddd
8 篇文章
• 第 1 頁 (共 1 頁)
誰在線上
正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客