第一次将CentOS服务器配上外网可访问的网络配置,发现每次通过外网地址登陆ssh,链接时间长,同时爆出以下信息,显示从上一次登陆成功到本次登陆成功,中间有3896次尝试登陆root账户失败的情况。【说明服务器被攻击了】


Last failed login: Sat Mar 19 09:34:18 CST 2016 from 222.186.15.82 on ssh:notty
There were 3896 failed login attempts since the last successful login.
Last login: Sat Mar 19 09:12:33 2016 from 117.114.129.166

基于CentOS 6或者7版本的系统,我们可以安装Fail2ban工具来阻止一定的暴力破解SSH或者FTP账户问题,也许不能足够的解决问题,但至少可以解决一般的问题。

第一、Fail2ban安装

A - CentOS 6

rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
yum install fail2ban

B - CentOS 7

rpm -Uvh http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-2.noarch.rpm
yum install fail2ban

[说明]执行以上第一句,若找不到是因为版本更新后,旧版本就删除了。所有打开“http://dl.fedoraproject.org/pub/epel/7/x86_64/e/”找找相应的rpm

第二、Fail2ban设置

(1)各配置文件用途

  1. /etc/fail2ban/action.d            #动作文件夹,内含默认文件。iptables以及mail等动作配置
    2. 

  2. /etc/fail2ban/fail2ban.conf        #定义了fai2ban日志级别、日志位置及sock文件位置
    3. 

  3. /etc/fail2ban/filter.d            #条件文件夹,内含默认文件。过滤日志关键内容设置
    4. 

  4. /etc/fail2ban/jail.conf            #主要配置文件,模块化。主要设置启用ban动作的服务及动作阀值
    5. 

  5. /etc/rc.d/init.d/fail2ban          #启动脚本文件


(2)、fail2ban.conf一般不用改,再确认以下几项:
  1. vi /etc/fail2ban/fail2ban.conf
    2. 

  2. [Definition] 
    3. 

  3. loglevel =3 
    4. 

  4. logtarget = SYSLOG  #我们需要做的就是把这行改成/var/log/fail2ban.log,方便用来记录日志信息
    5. 

  5. socket =/var/run/fail2ban/fail2ban.sock

(3)编辑/etc/fail2b    an/jail.conf文件,修改或添加防攻击规则。(后面有规则的举例)
【特别说明】 
   (1)“[INCLUDES]”以前的不要动(都是注释),否则fail2ban服务就无法启动。可以用命令来检查语法错误 #fail2ban-client -v -v start
(2)“[DEFAULT]”里的 “enabled = false”不能改为true,否则fail2ban服务就无法启动。
  1. centos Job for fail2ban.service failed because the control process exited with error code. See "systemctl status fail2ban.service" and "journalctl -xe" for details


第三、重启Fail2ban服务,立即生效。
systemctl restart fail2ban.service
第四、防攻击规则,举例
关键词
  1. [DEFAULT]               #全局设置
    2. 

  2. ignoreip = 127.0.0.1       #忽略的IP列表,不受设置限制,多个以空格隔开
    3. 

  3. bantime  = 600             #屏蔽时间,单位:秒
    4. 

  4. findtime  = 600             #这个时间段内超过规定次数会被ban掉
    5. 

  5. maxretry = 3                #最大尝试次数
    6. 

  6. backend = auto            #日志修改检测机制(gamin、polling和auto这三种)
    7. 

    8. 

  8. [sshd]                   #单个服务检查设置,如设置bantime、findtime、maxretry和全局冲突,服务优先级大于全局设置。
    9. 

  9. enabled  = true             #是否激活此项(true/false)
    10. 

  10. filter   = sshd              #过滤规则filter的名字,对应filter.d目录下的sshd.conf
    11. 

  11. action   = iptables[name=SSH, port=ssh, protocol=tcp]#动作的相关参数,对应action.d/iptables.conf文件
    12. 

  12. logpath  = /var/log/secure         #检测的日志文件path
    13. 

  13. bantime  = 3600
    14. 

  14. findtime  = 300
    15. 

  15. maxretry = 3

防攻击规则参见:
(1)SSH防攻击规则
  1. [ssh-iptables]
    2. 

  2. enabled  = true
    3. 

  3. filter   = sshd
    4. 

  4. action   = iptables[name=SSH, port=ssh, protocol=tcp]
    5. 

  5.            sendmail-whois[name=SSH, dest=root, sender=fail2ban@example.com, sendername="Fail2Ban"]
    6. 

  6. logpath  = /var/log/secure
    7. 

  7. maxretry = 5
    8. 

  8. [ssh-ddos]
    9. 

  9. enabled = true
    10. 

  10. filter  = sshd-ddos
    11. 

  11. action  = iptables[name=ssh-ddos, port=ssh,sftp protocol=tcp,udp]
    12. 

  12. logpath  = /var/log/messages
    13. 

  13. maxretry = 2
    14. 

  14. [osx-ssh-ipfw]
    15. 

  15. enabled  = true
    16. 

  16. filter   = sshd
    17. 

  17. action   = osx-ipfw
    18. 

  18. logpath  = /var/log/secure.log
    19. 

  19. maxretry = 5
    20. 

  20. [ssh-apf]
    21. 

  21. enabled = true
    22. 

  22. filter  = sshd
    23. 

  23. action  = apf[name=SSH]
    24. 

  24. logpath = /var/log/secure
    25. 

  25. maxretry = 5
    26. 

  26. [osx-ssh-afctl]
    27. 

  27. enabled  = true
    28. 

  28. filter   = sshd
    29. 

  29. action   = osx-afctl[bantime=600]
    30. 

  30. logpath  = /var/log/secure.log
    31. 

  31. maxretry = 5
    32. 

  32. [selinux-ssh]
    33. 

  33. enabled = true
    34. 

  34. filter  = selinux-ssh
    35. 

  35. action  = iptables[name=SELINUX-SSH, port=ssh, protocol=tcp]
    36. 

  36. logpath  = /var/log/audit/audit.log
    37. 

  37. maxretry = 5
(2)proftp防攻击规则
 
  1. [proftpd-iptables]
    2. 

  2. enabled  = true
    3. 

  3. filter   = proftpd
    4. 

  4. action   = iptables[name=ProFTPD, port=ftp, protocol=tcp]
    5. 

  5.            sendmail-whois[name=ProFTPD, dest=you@example.com]
    6. 

  6. logpath  = /var/log/proftpd/proftpd.log
    7. 

  7. maxretry = 6

(3)邮件防攻击规则
  1. [sasl-iptables]
    2. 

  2. enabled  = true
    3. 

  3. filter   = postfix-sasl
    4. 

  4. backend  = polling
    5. 

  5. action   = iptables[name=sasl, port=smtp, protocol=tcp]
    6. 

  6.            sendmail-whois[name=sasl, dest=you@example.com]
    7. 

  7. logpath  = /var/log/mail.log
    8. 

  8. [dovecot]
    9. 

  9. enabled = true
    10. 

  10. filter  = dovecot
    11. 

  11. action  = iptables-multiport[name=dovecot, port="pop3,pop3s,imap,imaps,submission,smtps,sieve", protocol=tcp]
    12. 

  12. logpath = /var/log/mail.log
    13. 

  13. [dovecot-auth]
    14. 

  14. enabled = true
    15. 

  15. filter  = dovecot
    16. 

  16. action  = iptables-multiport[name=dovecot-auth, port="pop3,pop3s,imap,imaps,submission,smtps,sieve", protocol=tcp]
    17. 

  17. logpath = /var/log/secure
    18. 

  18. [perdition]
    19. 

  19. enabled = true
    20. 

  20. filter  = perdition
    21. 

  21. action  = iptables-multiport[name=perdition,port="110,143,993,995"]
    22. 

  22. logpath = /var/log/maillog
    23. 

    24. 

  24. [uwimap-auth]
    25. 

  25. enabled = true
    26. 

  26. filter  = uwimap-auth
    27. 

  27. action  = iptables-multiport[name=uwimap-auth,port="110,143,993,995"]
    28. 

  28. logpath = /var/log/maillog
(4)apache防攻击规则
  1. [apache-tcpwrapper]
    2. 

  2. enabled  = true
    3. 

  3. filter  = apache-auth
    4. 

  4. action   = hostsdeny
    5. 

  5. logpath  = /var/log/httpd/error_log
    6. 

  6. maxretry = 6
    7. 

  7. [apache-badbots]
    8. 

  8. enabled  = true
    9. 

  9. filter   = apache-badbots
    10. 

  10. action   = iptables-multiport[name=BadBots, port="http,https"]
    11. 

  11.            sendmail-buffered[name=BadBots, lines=5, dest=you@example.com]
    12. 

  12. logpath  = /var/log/httpd/access_log
    13. 

  13. bantime  = 172800
    14. 

  14. maxretry = 1
    15. 

  15. [apache-shorewall]
    16. 

  16. enabled  = true
    17. 

  17. filter   = apache-noscript
    18. 

  18. action   = shorewall
    19. 

  19.            sendmail[name=Postfix, dest=you@example.com]
    20. 

  20. logpath  = /var/log/httpd/error_log
(5)nginx防攻击规则
  1. [nginx-http-auth]
    2. 

  2. enabled = true
    3. 

  3. filter  = nginx-http-auth
    4. 

  4. action  = iptables-multiport[name=nginx-http-auth,port="80,443"]
    5. 

  5. logpath = /var/log/nginx/error.log
(6)lighttpd防规击规则
  1. [suhosin]
    2. 

  2. enabled  = true
    3. 

  3. filter   = suhosin
    4. 

  4. action   = iptables-multiport[name=suhosin, port="http,https"]
    5. 

  5. # adapt the following two items as needed
    6. 

  6. logpath  = /var/log/lighttpd/error.log
    7. 

  7. maxretry = 2
    8. 

  8. [lighttpd-auth]
    9. 

  9. enabled  = true
    10. 

  10. filter   = lighttpd-auth
    11. 

  11. action   = iptables-multiport[name=lighttpd-auth, port="http,https"]
    12. 

  12. # adapt the following two items as needed
    13. 

  13. logpath  = /var/log/lighttpd/error.log
    14. 

  14. maxretry = 2
(7)vsftpd防攻击规则
  1. [vsftpd-notification]
    2. 

  2. enabled  = true
    3. 

  3. filter   = vsftpd
    4. 

  4. action   = sendmail-whois[name=VSFTPD, dest=you@example.com]
    5. 

  5. logpath  = /var/log/vsftpd.log
    6. 

  6. maxretry = 5
    7. 

  7. bantime  = 1800
    8. 

  8. [vsftpd-iptables]
    9. 

  9. enabled  = true
    10. 

  10. filter   = vsftpd
    11. 

  11. action   = iptables[name=VSFTPD, port=ftp, protocol=tcp]
    12. 

  12.            sendmail-whois[name=VSFTPD, dest=you@example.com]
    13. 

  13. logpath  = /var/log/vsftpd.log
    14. 

  14. maxretry = 5
    15. 

  15. bantime  = 1800
(8)pure-ftpd防攻击规则
  1. [pure-ftpd]
    2. 

  2. enabled  = true
    3. 

  3. filter   = pure-ftpd
    4. 

  4. action   = iptables[name=pure-ftpd, port=ftp, protocol=tcp]
    5. 

  5. logpath  = /var/log/pureftpd.log
    6. 

  6. maxretry = 2
    7. 

  7. bantime  = 86400
(9)mysql防攻击规则
  1. [mysqld-iptables]
    2. 

  2. enabled  = true
    3. 

  3. filter   = mysqld-auth
    4. 

  4. action   = iptables[name=mysql, port=3306, protocol=tcp]
    5. 

  5.            sendmail-whois[name=MySQL, dest=root, sender=fail2ban@example.com]
    6. 

  6. logpath  = /var/log/mysqld.log
    7. 

  7. maxretry = 5
(10)apache phpmyadmin防攻击规则
  1. [apache-phpmyadmin]
    2. 

  2. enabled  = true
    3. 

  3. filter   = apache-phpmyadmin
    4. 

  4. action  = iptables[name=phpmyadmin, port=http,https protocol=tcp]
    5. 

  5. logpath  = /var/log/httpd/error_log
    6. 

  6. maxretry = 3
    7. 

  7. # /etc/fail2ban/filter.d/apache-phpmyadmin.conf
    8. 

  8. 将以下内容粘贴到apache-phpmyadmin.conf里保存即可以创建一个apache-phpmyadmin.conf文件.
    9. 

  9. # Fail2Ban configuration file
    10. 

  10. #
    11. 

  11. # Bans bots scanning for non-existing phpMyAdmin installations on your webhost.
    12. 

  12. #
    13. 

  13. # Author: Gina Haeussge
    14. 

  14. #
    15. 

  15. [Definition]
    16. 

  16. docroot = /var/www
    17. 

  17. badadmin = PMA|phpmyadmin|myadmin|mysql|mysqladmin|sqladmin|mypma|admin|xampp|mysqldb|mydb|db|pmadb|phpmyadmin1|phpmyadmin2
    18. 

  18. # Option:  failregex
    19. 

  19. # Notes.:  Regexp to match often probed and not available phpmyadmin paths.
    20. 

  20. # Values:  TEXT
    21. 

  21. #
    22. 

  22. failregex = [[]client []] File does not exist: %(docroot)s/(?:%(badadmin)s)
    23. 

  23. # Option:  ignoreregex
    24. 

  24. # Notes.:  regex to ignore. If this regex matches, the line is ignored.
    25. 

  25. # Values:  TEXT
    26. 

  26. #
    27. 

  27. ignoreregex =
    28. 

  28. # service fail2ban restart
第五、新建防攻击规则
 以nginx为例,具体设置方法如下:
(1)首先在jail.conf文件下追加以下内容:
  1. [nginx]    ;规则名字
    2. 

  2. enabled = true ;是否户用
    3. 

  3. port = http,https ;监控端口
    4. 

  4. filter = nginx    ;需要过滤匹配规则
    5. 

  5. logpath = /var/log/nginx/access_log; 日志路径
    6. 

  6. findtime =60    ;检测周期 单位秒 以下一样
    7. 

  7. bantime =300    ;iptable封禁IP时间
    8. 

  8. maxretry =10    ;最大尝试次数
    9. 

  9. action = iptables[name=nginx, port=http, protocal=tcp] ;发现暴力破解采取iptalbes封禁IP的措施
    10. 

  10.          sendmail[name=nginx, dest=my-email@xx.com]    ;发现暴力破解后采取sendmail发送邮件的措施,需要注意的是:iptables和sendmail必须对齐,要不然会发生错误;不要问我为什么会知道。
(2)然后创建 /etc/fail2ban/filter.d/nginx.conf文件,并添加以下内容:
  1. [Definition]
    2. 

  2. failregex =<HOST>.*-.*-.*POST.*/login_check.do.* HTTP\/1.*http://test.com.*$ ;需要匹配日志发现攻击行为的正则,<HOST>为fail2ban内置变量匹配IP,不可修改
    3. 

  3. ignoreregex =    ;需要忽略的正则
(3)systemctl restart fail2ban 立即生效。
第六、查询限制列表   iptables -L --line-numbers
红色的表示已经由fail2ban限制了。
  1. [root@bogon ~]#  iptables -L --line-numbers
    2. 

  2. Chain INPUT (policy ACCEPT)
    3. 

  3. num  target     prot opt source               destination         
    4. 

  4. 1    f2b-SSH    tcp  --  anywhere             anywhere             tcp dpt:ssh
    5. 

  5. 2    f2b-SSH    tcp  --  anywhere             anywhere             tcp dpt:ssh
    6. 

  6. 3    ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
    7. 

  7. 4    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
    8. 

  8. 5    ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
    9. 

  9. 6    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps
    10. 

  10. 7    ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
    11. 

  11. 8    ACCEPT     all  --  anywhere             anywhere            
    12. 

  12. 9    INPUT_direct  all  --  anywhere             anywhere            
    13. 

  13. 10   INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
    14. 

  14. 11   INPUT_ZONES  all  --  anywhere             anywhere            
    15. 

  15. 12   ACCEPT     icmp --  anywhere             anywhere            
    16. 

  16. 13   REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
    17. 

    18. 

  18. Chain f2b-SSH (2 references)
    19. 

  19. num  target     prot opt source               destination         
    20. 

  20. 1    REJECT     all  --  58.218.211.38        anywhere             reject-with icmp-port-unreachable
    21. 

  21. 2    RETURN     all  --  anywhere             anywhere            
    22. 

  22. You have new mail in /var/spool/mail/root

第七、解除fail2ban绑定的IP

查询限制列表
  1. # iptables -L --line-numbers
    2. 

  2. Chain f2b-SSH (2 references)
    3. 

  3. num  target     prot opt source               destination         
    4. 

  4. 1    REJECT     all  --  58.218.211.38        anywhere             reject-with icmp-port-unreachable
    5. 

  5. 2    RETURN     all  --  anywhere             anywhere    
解除限制
  1. # iptables -D f2b-SSH 1
    2. 

  2. 上面是解除第一个拒绝的IP

第八、统计登陆失败的IP
  1. [root@bogon ~]# find /var/log -name 'secure*' -type f | while read line;do awk '/Failed/{print $(NF-3)}' $line;done | awk '{a[$0]++}END{for (j in a) if(a[j] > 20) print j"="a[j]}' | sort -n -t'=' -k 2
    2. 

  2. 202.99.172.155=24
    3. 

  3. 123.126.110.69=25
    4. 

  4. 222.74.228.85=136
    5. 

  5. 5.189.139.232=557
    6. 

  6. 222.178.229.67=1005
    7. 

  7. 222.186.15.82=1883
    8. 

  8. 59.63.188.44=6748
    9. 

  9. 58.218.211.38=6752
    10. 

  10. [root@bogon ~]# 
有上面几个IP尝试通过不同的端口攻击我的服务器
另外给root账户设置24位随机密码:
  1. rootpass=`date +%s | sha256sum | base64 | head -c 24` && echo root:$rootpass  | chpasswd && echo $rootpass

Fail2ban 防止暴力破解centos服务器的SSH或者FTP账户的更多相关文章

  1. Centos6.4 安装fail2ban防暴力破解

    Centos6.4 安装fail2ban防暴力破解 一. 安装 curl -O https://codeload.github.com/fail2ban/fail2ban/tar.gz/0.9.0 m ...

  2. fail2ban 防暴力破解总结

    公司服务器安全问题一直是个令人头疼的问题,许多运维的小伙伴一直在用脚本来监控服务器登录状态,然而脚本编写比较麻烦,今天就给大家推荐一款小而精致的防暴力破解工具 fail2ban ,他可以监控系统日志, ...

  3. CentOS 7 Fail2ban防暴力破解

    1.安装 yum install epel-release -y yum install fail2ban fail2ban-systemd -y 2.配置 //新建配置 vim /etc/fail2 ...

  4. fail2ban防止暴力破解

    安装fail2ban: 将fail2ban 上传到服务器,解压: [root@xuegod1 tmp]# tar -zxvf fail2ban-0.8.14.tar.gz [root@xuegod1 ...

  5. linux centOS服务器部署ssh,免密码登陆linux

    登陆centos,切换用户,切换到你要免密码登陆的用户,进入到家目录 2 创建钥匙, [xun@jzlinux ~]$ ssh-keygen -t rsa Generating public/priv ...

  6. Fail2ban 阻止暴力破解

    简介: Fail2ban 能够监控系统日志,匹配日志中的错误信息(使用正则表达式),执行相应的屏蔽动作(支持多种,一般为调用 iptables ),是一款很实用.强大的软件. 如:攻击者不断尝试穷举 ...

  7. Centos 拒绝ssh远程暴力破解方法

    佳木斯SEO摘要 有一天突然收到一封邮件,邮件内容告知我的ECS服务器作为肉鸡在攻击别的机器,期初一想,一定是我机器的账号密码被泄露,或者是被人暴力破解,于是乎,我就查询了一下我机器的账号登录记录. ...

  8. Linux 利用hosts.deny 防止暴力破解ssh(转)

    一.ssh暴力破解 利用专业的破解程序,配合密码字典.登陆用户名,尝试登陆服务器,来进行破解密码,此方法,虽慢,但却很有效果. 二.暴力破解演示 2.1.基础环境:2台linux主机(centos 7 ...

  9. Linux 利用hosts.deny 防止暴力破解ssh

    一.ssh暴力破解 利用专业的破解程序,配合密码字典.登陆用户名,尝试登陆服务器,来进行破解密码,此方法,虽慢,但却很有效果. 二.暴力破解演示 2.1.基础环境:2台linux主机(centos 7 ...

随机推荐

  1. 获得Window窗口权限的三种方法

    1.第一种方法:利用视图控制器自带的View的window属性:  具体使用 self.view.window.rootViewController = ... 2.第二种方法:通过导入APPDele ...

  2. jsp页面动态显示时间

    <SCRIPT language="JavaScript">  function disptime(){ var time = new Date(); var hour ...

  3. 【转载】ANSYS完全法与模态叠加法瞬态分析实例

    原文地址:http://www.caetecc.com/thread-2172-1-1.html ! 半脉冲载荷 --- 模态叠加法fini/clear,nostart/PREP7ET,1,BEAM4 ...

  4. MIT JOS学习笔记01:环境配置、Boot Loader(2016.10.22)

    未经许可谢绝以任何形式对本文内容进行转载! 一.环境配置 关于MIT课程中使用的JOS的配置教程网上已经有很多了,在这里就不做介绍,个人使用的是Ubuntu 16.04 + qemu.另注,本文章中贴 ...

  5. Android 中 非对称(RSA)加密和对称(AES)加密

    在非对称加密中使用的主要算法有:RSA.Elgamal.背包算法.Rabin.D-H.ECC(椭圆曲线加密算法)等. 优点: 非对称加密与对称加密相比,其安全性更好:对称加密的通信双方使用相同的秘钥, ...

  6. 从DataTable获取Json数据

    public string GetJson(DataTable dt){ JavaScriptSerializer jss=new JavaScriptSerializer(); jss.MaxJso ...

  7. 访问者模式(Visitor Pattern)

    定义:封装某些作用于某种数据结构中各元素的操作,它可以在不改变数据结构的前提下定义作用于这些元素的新的操作. Visitor 抽象访问者角色:为该对象结构中具体元素角色声明一个访问操作接口.该操作接口 ...

  8. Python数字,字符串

    数字 支持整数,浮点数,和奇怪的类型,如复数. 特殊的运算符为**,表示次方操作,如2**100,表示2的100次方. len()可以得到一个字符串对象的长度,str()可以将数字转换为字符串. pr ...

  9. 总是弹出visual studio 实时调试器 三种解决办法

    最近服务器老是弹出visual studio 实时调试器很是郁闷呀.关还关不掉.怎么解决呢 ,现像如下图所示: 下面我们一起来分析一下这种情况的原因: 弹出应用程序: Visual Studio 实时 ...

  10. python3验证码机器学习

    python3验证码机器学习 文档结构为 -- iconset -- ... -- jpg -- captcha.gif -- py -- crack.py 需要的库 pip3 install pil ...