打印

學校主機頻頻被踹(try)...有無可以擋的方法?

simu

中級會員

Rank: 3 Rank: 3

1^# 大中小發表於 2011-8-2 10:12 只看該作者

學校主機頻頻被踹(try)...有無可以擋的方法?

先看一下紀錄:
---------------------------------------------------------------------------------------
Aug  2 09:59:55 www sshd[8529]: Invalid user alana from 14.63.253.154
Aug  2 09:59:55 www sshd[8530]: input_userauth_request: invalid user alana
Aug  2 09:59:55 www sshd[8529]: pam_unix(sshd:auth): check pass; user unknown
Aug  2 09:59:55 www sshd[8529]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=14.63.253.154
Aug  2 09:59:55 www sshd[8529]: pam_succeed_if(sshd:auth): error retrieving information about user alana
Aug  2 09:59:56 www sshd[8529]: Failed password for invalid user alana from 14.63.253.154 port 50596 ssh2
Aug  2 09:59:57 www sshd[8530]: Received disconnect from 14.63.253.154: 11: Bye Bye

Aug  2 10:00:23 www sshd[8532]: Invalid user alane from 14.63.253.154
Aug  2 10:00:23 www sshd[8533]: input_userauth_request: invalid user alane
Aug  2 10:00:23 www sshd[8532]: pam_unix(sshd:auth): check pass; user unknown
Aug  2 10:00:23 www sshd[8532]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=14.63.253.154
Aug  2 10:00:23 www sshd[8532]: pam_succeed_if(sshd:auth): error retrieving information about user alane
Aug  2 10:00:25 www sshd[8532]: Failed password for invalid user alane from 14.63.253.154 port 52748 ssh2
Aug  2 10:00:25 www sshd[8533]: Received disconnect from 14.63.253.154: 11: Bye Bye
---------------------------------------------------------------------------------------
查了14.63.253.154的IP來源是韓國來的
這是幹麻勒....
連學校也不放過!

TOP

jls

阿亮

版主

Rank: 7 Rank: 7 Rank: 7

2^# 大中小發表於 2011-8-2 11:03 只看該作者

被踹(try)是很平常的事，
怕的是您的密碼設的太簡單
了而被被踹(try)成功了。
一般而言Server會被入侵
，小弟的見解有二點
一、系統太舊，套件沒按時做好更新。
二、管理人員本身的疏失。

不要把自己的快樂,建築在別人的痛苦上
世間最珍貴的不是‘得不到’和‘已失去’，而是現在能把握的幸福
取之於網路,回饋於網路

TOP

ghostfox

高級會員

Rank: 4

3^# 大中小發表於 2011-8-3 08:04 只看該作者

擔心的話可以架起防火牆
限制一下可以ssh連線的ip
或是改掉ssh的22port

TOP

id4

註冊會員

Rank: 2

4^# 大中小發表於 2011-8-8 01:38 只看該作者

我拿七月初研習拿到的版本裝伺服器
放了幾天後
grep sshd /var/log/auth.log | less
發現 14.63.253.154 這個IP一直try
心裡真是很不爽！

想說以前的版本也可以加入黑名單到防火牆
於是也研究了一下
發現設定不難

vi /bin/firewall.sh
查了一下防火牆設定
發現以下敘述：
##### 對於攻擊您Server的IP給予拒絕,不可設為 INPUT_IP="" ,也就是字串("")不能為空>白
INPUT_IP="/etc/firewall/input_ip"

我想 INPUT_IP="" 裡的資料夾及檔名應該是可以自訂的吧！？
不過我還是保留不動！

於是就
mkdir /etc/firewall
vi /etc/firewall/input_ip
裡面放上以前收藏的黑名單
14.63.253.154
58.50.25.202/16
61.135.0.0/16
113.125.1.1/16
114.138.1.1/16
117.33.224.225/16
121.10.137.28/16
121.28.202.230/16
123.125.1.1/16
124.114.0.0/16
124.115.0.0/16
187.1.168.40
187.1.231.78
218.38.34.217
218.75.223.78/16
220.181.19.180/16
220.189.

存完檔後
/etc/init.d/firewall restart
果然被try的機會就變得很少很少了！

TOP

chiming

9527

管理員

Rank: 9 Rank: 9 Rank: 9

華府低等下人

5^# 大中小發表於 2011-8-8 14:38 只看該作者

GOOD..好樣的..

華府低等下人
不要叫我教Windows，因為我的薪水不是比爾蓋兹付的。

TOP