记一次服务器被ssh攻击解决方案

现在位置：首页 > 杂货分享 > 个人随笔 > 记一次服务器被ssh攻击解决方案

记一次服务器被ssh攻击解决方案

龙行个人随笔 2019-6-9 227 0评论本文已被百度收录点击查看详情

今天6.9，闲来无事登上了服务器管理面板，提醒攻击十几万次，我的妈呀，我一个小小的博客站，应该是没人来弄我的把，第一反应就是哪些流氓在这儿乱扫。

登上服务器查看了下登陆行为日志： cat /var/log/secure

截图一小部分，从去年开始到现在累计的滚动大半天才看完，

再来看看统计把： cat /var/log/secure | awk '/Failed/{print $(NF-3)}' | sort | uniq -c | awk '{print $2" = "$1;}'

一个小时前清空了日志，所以现在比较少

直接来上解决方案把，google两种方案，第一种就是crontab定时执行shell脚本查登录日志，统计放入hosts.deny里面，不让你登陆

第一步：

先在 vim /etc/hosts.deny 插入你要登陆的ip不然你就的换机子登陆了

我是直接把服务器ip和自己本地ip放上去了，常用登陆ip

这一步很重要哦

sshd:0.0.0.0:allow
sshd:0.0.0.0:allow

第二步：

新建文本 :

touch block_ssh.sh

vim /root/block_ssh.sh

#! /bin/bash
cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.list
for i in `cat  /usr/local/bin/black.list`
do
  IP=`echo $i |awk -F= '{print $1}'`
  NUM=`echo $i|awk -F= '{print $2}'`
  if [ ${#NUM} -gt 1 ]; then
    grep $IP /etc/hosts.deny > /dev/null
    if [ $? -gt 0 ];then
      echo "sshd:$IP:deny" >> /etc/hosts.deny
    fi
  fi
done

如上过滤日志文件判断次数大于10次（脚本判断的是字符数是否大于两位数，10就是两位数，），就写入hosts.deny文件

3、将secure_ssh.sh脚本放入cron计划任务，每1分钟执行一次。

# crontab -e

*/1 * * * * sh /root/block_ssh.sh

然后重启定时器

service crond restart

查看定时器执行任务列表

crontab -l

隔几分钟就可以看到日志文件有记录了

cat /usr/local/bin/black.list

再看看 cat /etc/hosts.deny 文件可以看到上面已经有记录了

二：另一种方式使用工具denyhosts 这个我就不介绍了没用这种方法