CB3做web服务器几天内就被root暴力破解攻击数万次

soloforce · 发表于 2014-11-20 16:01:27

用SSH证书登录吧。。。安全很多

一、在客户机执行：
$ ssh-keygen -t rsa
把生成的公钥上传到CB ssh 服务器：
$ scp ~/.ssh/id_rsa.pub cubie-user@cubie-ssh-server:~/

二、在CB ssh服务器上
1、导入客户端公钥
# cd /home/cubie-user
# cat id_rsa.pub >> .ssh/authorized_keys

2. 修改sshd服务器配置
# vim /etc/ssh/sshd_config
把相关设置如下：
PermitRootLogin no
StrictModes no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no

3. 重启sshd
/etc/init.d/ssh restart

drycony · 发表于 2014-11-20 18:42:21

开启pam 稍微配置下就可以了。想暴力破解，很难。。

pplcubie · 发表于 2014-11-20 21:02:23

我的iptable是这样设置的不知道能过滤掉攻击不能

# Generated by iptables-save v1.4.14 on Thu Nov 20 20:50:45 2014
*filter
:INPUT DROP [10:595]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [741:166617]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/16 -j ACCEPT
-A INPUT -s 219.148.108.132/32 -i eth0 -j DROP
-A INPUT -s 61.157.96.111/32 -i eth0 -j DROP
-A INPUT -s 124.122.84.46/32 -i eth0 -j DROP
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 50000:60000 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 31337 -j DROP
-A OUTPUT -p tcp -m tcp --dport 31337 -j DROP
COMMIT
# Completed on Thu Nov 20 20:50:45 2014

shom · 发表于 2014-12-3 11:28:00

linux安装完成后如果开启了外网sshd，一定要改端口，禁用root登陆，安装fail2ban，是常识吧

jerryli · 发表于 2014-12-3 16:33:47

shom 发表于 2014-12-3 11:28
linux安装完成后如果开启了外网sshd，一定要改端口，禁用root登陆，安装fail2ban，是常识吧 ...

netken81 · 发表于 2015-3-28 12:54:30

以前我也遇到这种问题，我是先在iptables做了一些策略，以后又写了个脚本，最后还是安装了hostdeny这个软件，好使多了，把暴力IP都拉进黑名单。SSH改端口，ROOT禁止。

chengwangrbt · 发表于 2015-3-28 22:32:29

本帖最后由 chengwangrbt 于 2015-3-28 22:38 编辑

还有一个方法，就是用花生棒+内网服务（我绝对不是托啊）。
然后将域名开启花生壳DDNS解析，用花生棒做内网端口映射。在不开启外网80端口的情况下，访问服务器某端口（比如80）就会变成 www.xxx.com:12345。
我试着ping了一下我的域名(内网映射到了svn服务器的3690端口)，看到的是：
Ping phtunstick-pro0.oray.net 121.41.xx.xxx
来自 121.41.xx.xxxx的回复。
但是我的无线路由器的公网IP地址是111开头的。

我现在纠结的就是我的SVN服务器用的是最简单的设置=3=没有用SASL加密密码，也没有用SVN+SSH或是HTTPS、。。。好像安全性比较低。。。至少服务器不会变成肉鸡（我是这么感觉的）。

chengwangrbt · 发表于 2015-4-2 22:00:33

话说，突然想到一个问题，CT不是应该躲藏在路由器后便嘛。。。除了80端口映射了能从外网访问，其他端口根本不映射，不就不用担心了嘛？

平行猫 · 发表于 2015-4-3 11:12:50

我认为是端口问题，别用默认端口，就没事，有很多无聊的人就是扫默认端口的。
一是端口映射最好别用DMZ全部映射好，单独映射服务就好
二是默认端口都改一改

Billy · 发表于 2017-3-13 19:22:23

soloforce 发表于 2014-11-20 16:01
用SSH证书登录吧。。。安全很多

一、在客户机执行：

还是这个方法简单有效，除非熟人，其他恶意的直接连不上...多实在..

		自动登录	找回密码
密码			立即注册