自动同步东北大学网络应急响应组IP黑名单防止SSH恶意攻击

  • 2.2K
摘要

之前的文章中,阿斯兰提到将SSH的端口从默认的22修改为不常见端口,这样虽然可以屏蔽大多数的SSH恶意攻击,但终归还是有一些零星的攻击在,作为一个强迫症患者,这样肯定是不能忍的,下面我们设置自动同步SSH攻击的IP黑名单,经阿斯兰测试,3个月时间,只有一个漏网之鱼,SSH攻击可说算是解决了。

在上一篇文章《CentOS 6和CentOS 7系统修改SSH端口的方法》中,我提到通过修改SSH端口和黑名单的方式可以避免绝大多数的SSH攻击,这次就说一下怎么使用黑名单功能。
自动同步东北大学网络应急响应组IP黑名单防止SSH恶意攻击

禁止恶意IP通过穷举法登录SSH,可以通过iptables和Hosts.deny两个方法实现,

一、iptables禁止IP

  1. # 禁止1.1.1.1,IP自己改
  2. /sbin/iptables -I INPUT -s 1.1.1.1 -j DROP
  3. # 保存并重启iptables
  4. /etc/rc.d/init.d/iptables save
  5. /etc/rc.d/init.d/iptables restart

 

二、Hosts.deny禁止IP

方法一:修改/etc/hosts.deny,将恶意IP以下面方式书写并添加即可

  1. sshd: 100.11.109.28

 

方法二:这里推荐使用东北大学网络应急响应组(NEUCERT)的IP黑名单,黑名单中包括了NEUCERT通过蜜罐收集的IP地址列表并与sshbl.org提供的列表进行合并,生成新的hosts.deny,黑名单每五分钟更新一次,并提供了自动更新脚本,直接运行命令即可:

  1. wget antivirus.neu.edu.cn/ssh/soft/fetch_neusshbl.sh
  2. chmod +x fetch_neusshbl.sh
  3. cd /etc/cron.hourly/
  4. ln -s /root/fetch_neusshbl.sh .
  5. ./fetch_neusshbl.sh

添加后可以通过下面的命令查看是否更新:
more /etc/hosts.deny

  1. more /etc/hosts.deny

历史上的今天
4 月
12
阿斯兰萨拉
评论  1  访客  1
    • 達文
      達文 Firefox 53 Windows 10 1
      2017 年 05 月 09 日 17:49 日本 1F
      回复

      終於找到了,太感謝Po主了

    匿名

    发表评论

    匿名网友 填写信息

    :?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: