全球主机交流论坛

标题: 为什么这个世界总是充满了恶意 [打印本页]

---

作者: ftp1    时间: 2020-5-6 15:18
标题: 为什么这个世界总是充满了恶意


买了个小鸡鸡装上大便，改了ssh端口，某天用lastb看了一下，10w+次的失败登录记录，感觉到处都是抓鸡的大佬。

实在不想配置免密登录，看了一下fail2ban感觉配置有点麻烦所以写了一个简单的shell去把所有登录本机失败的ip全部放到防火墙里面了


分享一下给新同学
https://git.io/JfZRM

其中的port是你自己ssh的端口，谁通过这个端口访问失败都会进入reject.sh这个脚本，你运行完banips之后只需要再运行一次reject就行了，运行完记得删除reject脚本。
如果你够自信也可以直接不输出到reject直接在banips里面把这些ip block，配合crontab 2小时一次更佳

ps:用了这个脚本后，恶意访问的ip发现了1w+，lastb的记录还是很多，黑产大佬的ip真多啊

---

作者: ansheng    时间: 2020-5-6 15:20
看来适合局域网

---

作者: 驴总    时间: 2020-5-6 15:20
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: ZHT5178    时间: 2020-5-6 15:20
端口这么好猜到的么？

---

作者: 你说的都对    时间: 2020-5-6 15:21
黑产大佬全网自动化抓鸡，你只是其中之一

---

作者: merloat    时间: 2020-5-6 15:21
僵尸网络太可怕了，它一直存在，只能想办法慢慢缓解，但是却无法根除

---

作者: yugan300    时间: 2020-5-6 15:22
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: LuVer    时间: 2020-5-6 15:26
因为太善良

---

作者: 我能做两个小时    时间: 2020-5-6 15:28


不看不知道……一看就吓尿，每秒钟要访问几次，难怪卡的很，光记录信息就展示了两分钟，操

1. training ssh:notty    46.219.116.22    Fri May  1 07:32 - 07:32  (00:00)
   
2. training ssh:notty    46.219.116.22    Fri May  1 07:32 - 07:32  (00:00)
   
3. bh       ssh:notty    193.112.127.245  Fri May  1 07:25 - 07:25  (00:00)
   
4. bh       ssh:notty    193.112.127.245  Fri May  1 07:25 - 07:25  (00:00)
   
5. qwert    ssh:notty    46.219.116.22    Fri May  1 07:24 - 07:24  (00:00)
   
6. qwert    ssh:notty    46.219.116.22    Fri May  1 07:24 - 07:24  (00:00)
   
7. root     ssh:notty    218.92.0.208     Fri May  1 07:23 - 07:23  (00:00)
   
8. root     ssh:notty    218.92.0.208     Fri May  1 07:23 - 07:23  (00:00)
   
9. root     ssh:notty    218.92.0.208     Fri May  1 07:23 - 07:23  (00:00)
   
10. default  ssh:notty    187.22.154.41    Fri May  1 07:17 - 07:17  (00:00)
    
11. default  ssh:notty    187.22.154.41    Fri May  1 07:17 - 07:17  (00:00)
    
12. aishwary ssh:notty    46.219.116.22    Fri May  1 07:16 - 07:16  (00:00)
    
13. aishwary ssh:notty    46.219.116.22    Fri May  1 07:16 - 07:16  (00:00)
    
14. root     ssh:notty    46.219.116.22    Fri May  1 07:13 - 07:13  (00:00)
    
15. cod4     ssh:notty    46.219.116.22    Fri May  1 07:09 - 07:09  (00:00)
    
16. cod4     ssh:notty    46.219.116.22    Fri May  1 07:09 - 07:09  (00:00)
    
17. itg      ssh:notty    46.219.116.22    Fri May  1 07:05 - 07:05  (00:00)
    
18. itg      ssh:notty    46.219.116.22    Fri May  1 07:05 - 07:05  (00:00)
    
19. camera   ssh:notty    46.219.116.22    Fri May  1 07:01 - 07:01  (00:00)
    
20. camera   ssh:notty    46.219.116.22    Fri May  1 07:01 - 07:01  (00:00)
    
21. root     ssh:notty    46.219.116.22    Fri May  1 06:57 - 06:57  (00:00)
    
22. boller   ssh:notty    46.219.116.22    Fri May  1 06:53 - 06:53  (00:00)
    
23. boller   ssh:notty    46.219.116.22    Fri May  1 06:53 - 06:53  (00:00)
    
24. admin    ssh:notty    193.112.127.245  Fri May  1 06:53 - 06:53  (00:00)
    
25. admin    ssh:notty    193.112.127.245  Fri May  1 06:53 - 06:53  (00:00)
    
26. sammy    ssh:notty    46.219.116.22    Fri May  1 06:50 - 06:50  (00:00)
    
27. sammy    ssh:notty    46.219.116.22    Fri May  1 06:50 - 06:50  (00:00)
    
28. root     ssh:notty    218.92.0.208     Fri May  1 06:44 - 06:44  (00:00)
    
29. root     ssh:notty    218.92.0.208     Fri May  1 06:44 - 06:44  (00:00)
    
30. root     ssh:notty    218.92.0.208     Fri May  1 06:43 - 06:43  (00:00)
    
31. root     ssh:notty    187.22.154.41    Fri May  1 06:43 - 06:43  (00:00)
    
32. vt       ssh:notty    46.219.116.22    Fri May  1 06:42 - 06:42  (00:00)
    
33. vt       ssh:notty    46.219.116.22    Fri May  1 06:42 - 06:42  (00:00)
    
34. root     ssh:notty    193.112.127.245  Fri May  1 06:41 - 06:41  (00:00)
    
35. social   ssh:notty    187.22.154.41    Fri May  1 06:38 - 06:38  (00:00)
    
36. social   ssh:notty    187.22.154.41    Fri May  1 06:38 - 06:38  (00:00)
    
37. root     ssh:notty    46.219.116.22    Fri May  1 06:38 - 06:38  (00:00)
    
38. root     ssh:notty    46.219.116.22    Fri May  1 06:35 - 06:35  (00:00)
    
39. root     ssh:notty    218.92.0.208     Fri May  1 06:32 - 06:32  (00:00)
    
40. root     ssh:notty    218.92.0.208     Fri May  1 06:32 - 06:32  (00:00)
    
41. root     ssh:notty    218.92.0.208     Fri May  1 06:32 - 06:32  (00:00)
    
42. heera    ssh:notty    46.219.116.22    Fri May  1 06:31 - 06:31  (00:00)
    
43. heera    ssh:notty    46.219.116.22    Fri May  1 06:31 - 06:31  (00:00)
    
44. root     ssh:notty    46.219.116.22    Fri May  1 06:27 - 06:27  (00:00)
    
45. air      ssh:notty    193.112.127.245  Fri May  1 06:25 - 06:25  (00:00)
    
46. air      ssh:notty    193.112.127.245  Fri May  1 06:25 - 06:25  (00:00)

复制代码

---

作者: 西北老汉    时间: 2020-5-6 15:28
密钥不麻烦吧

---

作者: 爱吃醋的醋醋    时间: 2020-5-6 15:32
提示: 作者被禁止或删除 内容自动屏蔽

---

作者: ftp1    时间: 2020-5-6 15:34

我能做两个小时 发表于 2020-5-6 15:28
不看不知道……一看就吓尿，每秒钟要访问几次，难怪卡的很，光记录信息就展示了两分钟，操
...

真的是发现了才感到恐惧

---

作者: 大侠饶命    时间: 2020-5-6 15:38
以前不懂的时候也是默认端口 太可怕了

---

作者: neeyuese    时间: 2020-5-6 15:38
发现了才感到恐惧

---

作者: ivsa    时间: 2020-5-6 15:38
fail2ban  有一键脚本。。。用了之后一星期才1000+

---

作者: 我能做两个小时    时间: 2020-5-6 15:41

ftp1 发表于 2020-5-6 15:34
真的是发现了才感到恐惧

MLGB的，都快赶上DDOS攻击了，阿里云的T5机器本来就硬件垃圾……被这么一搞，速度更慢了，我还以为我被墙限流了呢，操

---

作者: suaxi    时间: 2020-5-6 15:41
拿到手的第一步先来下apt-get update，然后马上改ssh端口再去整其他的

---

作者: 会翻车吗    时间: 2020-5-6 15:48
怕什么 密码设置难点他爆破一亿年都破不出来

---

作者: Waylon    时间: 2020-5-6 15:59


我也用的脚本、、、、错10次的IP禁止再尝试

echo > /root/hosterrorlog
vi secure_ssh.sh

1. #!/bin/bash
   
2. cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /root/hosterrorlog
   
3. for i in `cat  /root/hosterrorlog`
   
4. do
   
5.   IP=`echo $i |awk -F= '{print $1}'`
   
6.   NUM=`echo $i|awk -F= '{print $2}'`
   
7.   if [ ${#NUM} -gt 1 ]; then
   
8.     grep $IP /etc/hosts.deny > /dev/null
   
9.     if [ $? -gt 0 ];then
   
10.       echo "sshd:$IP:deny" >> /etc/hosts.deny
    
11.     fi
    
12.   fi
    
13. done

复制代码

chmod u+x secure_ssh.sh
crontab -e
*/5 * * * * /root/secure_ssh.sh

---

作者: jiuqimax    时间: 2020-5-6 15:59
怕什么  fail2ban设置300秒内错1次封一天

---

作者: Waylon    时间: 2020-5-6 16:23
其实WEB也是恶意的。。。别以为没人知道就没人攻击

---

作者: Cstudent    时间: 2020-5-6 16:33
我每次新开小鸡都是换端口+密钥登录+fail2ban 三步走完 再部署各种服务

---

欢迎光临 全球主机交流论坛 (https://lilynana.eu.org/)

Powered by Discuz! X3.4