Board logo

標題: 學校主機頻頻被踹(try)...有無可以擋的方法? [打印本頁]
作者: simu    時間: 2011-8-2 10:12     標題: 學校主機頻頻被踹(try)...有無可以擋的方法?

先看一下紀錄:
---------------------------------------------------------------------------------------
Aug  2 09:59:55 www sshd[8529]: Invalid user alana from 14.63.253.154
Aug  2 09:59:55 www sshd[8530]: input_userauth_request: invalid user alana
Aug  2 09:59:55 www sshd[8529]: pam_unix(sshd:auth): check pass; user unknown
Aug  2 09:59:55 www sshd[8529]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=14.63.253.154
Aug  2 09:59:55 www sshd[8529]: pam_succeed_if(sshd:auth): error retrieving information about user alana
Aug  2 09:59:56 www sshd[8529]: Failed password for invalid user alana from 14.63.253.154 port 50596 ssh2
Aug  2 09:59:57 www sshd[8530]: Received disconnect from 14.63.253.154: 11: Bye Bye

Aug  2 10:00:23 www sshd[8532]: Invalid user alane from 14.63.253.154
Aug  2 10:00:23 www sshd[8533]: input_userauth_request: invalid user alane
Aug  2 10:00:23 www sshd[8532]: pam_unix(sshd:auth): check pass; user unknown
Aug  2 10:00:23 www sshd[8532]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=14.63.253.154
Aug  2 10:00:23 www sshd[8532]: pam_succeed_if(sshd:auth): error retrieving information about user alane
Aug  2 10:00:25 www sshd[8532]: Failed password for invalid user alane from 14.63.253.154 port 52748 ssh2
Aug  2 10:00:25 www sshd[8533]: Received disconnect from 14.63.253.154: 11: Bye Bye
---------------------------------------------------------------------------------------
查了14.63.253.154的IP來源是韓國來的
這是幹麻勒....
連學校也不放過!
作者: jls    時間: 2011-8-2 11:03

被踹(try)是很平常的事,
怕的是您的密碼設的太簡單
了而被被踹(try)成功了。
一般而言Server會被入侵
,小弟的見解有二點
一、系統太舊,套件沒按時做好更新。
二、管理人員本身的疏失。
作者: ghostfox    時間: 2011-8-3 08:04

擔心的話可以架起防火牆
限制一下可以ssh連線的ip
或是改掉ssh的22port
作者: id4    時間: 2011-8-8 01:38

我拿七月初研習拿到的版本裝伺服器
放了幾天後
grep sshd /var/log/auth.log | less
發現 14.63.253.154 這個IP一直try
心裡真是很不爽!

想說以前的版本也可以加入黑名單到防火牆
於是也研究了一下
發現設定不難

vi /bin/firewall.sh
查了一下防火牆設定
發現以下敘述:
##### 對於攻擊您Server的IP給予拒絕,不可設為 INPUT_IP="" ,也就是字串("")不能為空>白
INPUT_IP="/etc/firewall/input_ip"

我想 INPUT_IP="" 裡的資料夾及檔名應該是可以自訂的吧!?
不過我還是保留不動!

於是就
mkdir /etc/firewall
vi /etc/firewall/input_ip
裡面放上以前收藏的黑名單
14.63.253.154
58.50.25.202/16
61.135.0.0/16
113.125.1.1/16
114.138.1.1/16
117.33.224.225/16
121.10.137.28/16
121.28.202.230/16
123.125.1.1/16
124.114.0.0/16
124.115.0.0/16
187.1.168.40
187.1.231.78
218.38.34.217
218.75.223.78/16
220.181.19.180/16
220.189.

存完檔後
/etc/init.d/firewall restart
果然被try的機會就變得很少很少了!
作者: chiming    時間: 2011-8-8 14:38

GOOD..好樣的..



歡迎光臨 彰縣自由軟體交流論壇 (http://free.jls.idv.tw/) Powered by Discuz! 6.0.0