自动同步东北大学网络应急响应组IP黑名单防止SSH恶意攻击

  • A+
所属分类:建站笔记
摘要

之前的文章中,阿斯兰提到将SSH的端口从默认的22修改为不常见端口,这样虽然可以屏蔽大多数的SSH恶意攻击,但终归还是有一些零星的攻击在,作为一个强迫症患者,这样肯定是不能忍的,下面我们设置自动同步SSH攻击的IP黑名单,经阿斯兰测试,3个月时间,只有一个漏网之鱼,SSH攻击可说算是解决了。

在上一篇文章《CentOS 6和CentOS 7系统修改SSH端口的方法》中,我提到通过修改SSH端口和黑名单的方式可以避免绝大多数的SSH攻击,这次就说一下怎么使用黑名单功能。

禁止恶意IP通过穷举法登录SSH,可以通过iptables和Hosts.deny两个方法实现,

一、iptables禁止IP

  1. # 禁止1.1.1.1,IP自己改
  2. /sbin/iptables -I INPUT -s 1.1.1.1 -j DROP
  3. # 保存并重启iptables
  4. /etc/rc.d/init.d/iptables save
  5. /etc/rc.d/init.d/iptables restart

 

二、Hosts.deny禁止IP

方法一:修改/etc/hosts.deny,将恶意IP以下面方式书写并添加即可

  1. sshd: 100.11.109.28

 

方法二:这里推荐使用东北大学网络应急响应组(NEUCERT)的IP黑名单,黑名单中包括了NEUCERT通过蜜罐收集的IP地址列表并与sshbl.org提供的列表进行合并,生成新的hosts.deny,黑名单每五分钟更新一次,并提供了自动更新脚本,直接运行命令即可:

  1. wget antivirus.neu.edu.cn/ssh/soft/fetch_neusshbl.sh
  2. chmod +x fetch_neusshbl.sh
  3. cd /etc/cron.hourly/
  4. ln -s /root/fetch_neusshbl.sh .
  5. ./fetch_neusshbl.sh

添加后可以通过下面的命令查看是否更新:
more /etc/hosts.deny

  1. more /etc/hosts.deny

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:2   其中:访客  1   博主  1

    • 達文 達文 Firefox 53.0 Windows 10 x64 Edition 日本 1

      終於找到了,太感謝Po主了

        • 阿斯兰萨拉 阿斯兰萨拉 Admin Google Chrome 57.0.2987.133 Windows 10 x64 Edition 来自天朝的朋友 中国 北京

          @達文 第五次测试