CB3做web服务器几天内就被root暴力破解攻击数万次

jerryli

用CB3建的小集群，最近在检查auth.log日志的时候，发现每天有大量的暴力破解攻击。下面这个是攻击者的IP列表，第一列是尝试暴力破解的次数。最多次数的几个IP都是北京的。
   7042 116.213.92.199
   2098 114.112.197.217
    848 1.93.29.130
    805 144.0.0.30
    661 107.170.38.213
    623 116.10.191.235
    612 220.177.198.42
    604 116.10.191.182
    580 183.136.214.105
    577 218.5.177.83
    554 116.10.191.166
    508 116.10.191.184
    484 116.10.191.221
    463 58.16.18.70
    458 116.10.191.232
    456 116.10.191.215
    445 61.167.49.136
    400 116.10.191.186
    381 61.174.51.231
    366 144.0.0.25
    364 114.112.54.22
    354 61.167.49.141
    354 61.167.49.139
    341 61.174.51.216
    317 61.174.51.235
    316 61.174.50.213
    315 61.174.51.202

只截取了一小段，两天就有好几万的暴力破解攻击，唉。。。。。

还好密码设置的比较长，暂时没有被破掉。用CB3做服务器的要注意密码设置啊。
hostname 一定要改掉
cubie与root帐号的密码一定要超过10位，最好是15-20位，懂一点的可以用授权证书，把密码验证登录关掉。
不然要不了多久，服务器就会变成肉鸡。

ahha007

这么凶残？

facat

请问auth.log文件在哪里？我在cubian中找不到。

yanggis

facat 发表于 2014-9-1 10:59
请问auth.log文件在哪里？我在cubian中找不到。

/var/log/目录下。

facat

yanggis 发表于 2014-9-1 14:24
/var/log/目录下。

奇怪，cubian中真的没有这个文件。

jerryli

facat 发表于 2014-9-1 15:34
奇怪，cubian中真的没有这个文件。

你没仔细看吧，应该有的/ver/log/auth.log

jerryli

最好把对外网开放的那个服务器的ssh的22端口改一下，比如改成4321，这样攻击者就不容易猜不到了。

cubieplayer

facat 发表于 2014-9-1 15:34
奇怪，cubian中真的没有这个文件。

禁用了，参照 https://github.com/mmplayer/fsup ... /rsyslog.conf.patch，如果需要你改回来就行了

另外cubian的默认设置外部基本不可能暴力破解你的机器
1. 端口号不是默认的 （防了一批扫端口的人）
2. ssh最大连接数5 (不可能同时开5个以上的连接暴力破解，大大影响了破解效率)
3. 禁止root登录 （呵呵，有本事你把我的用户名也猜出来）

facat

cubieplayer 发表于 2014-9-2 10:53
禁用了，参照 https://github.com/mmplayer/fsup ... /rsyslog.conf.patch，如果需要你改回来就行了

另外 ...

禁止root登录 （呵呵，有本事你把我的用户名也猜出来）

前提是改了hostname，哈哈。我看了这个贴马上就去改了。

ansenwong

装个hostdeny，有暴力，自动加到hosts.deny里，还能发邮件通知你，python写的，这个才是对付暴力的有效方式，密码不能弱是一定的