事情是这样的,一天登陆家里服务器的时候无心间看到了下面bash
There was 242 failed login attempt since the last successful login.
服务器
这个时候我就意识到有人在爆破个人ssh密码了,个人服务器架构是下面这样的架构
开始我也没有在乎,你爆破就爆破吧,反正我也无所谓,可是最后过了好几天,我再去看,,,,,,ssh
这傻逼还在尝试,说真的,大佬你无聊不无聊,没事别玩我啊,因此我就想办法去防护一下了tcp
由于是使用frp作内网穿透的,因此在ssh爆破的日志上你是找不到源ip的,因此只能监控阿里云的端口来找到对方的服务器ui
首先在阿里云的服务器上使用iftop监控好端口阿里云
iftop -P -t > 123
unix
-P是监控端口 -t是以文本方式输出,以后把内容输出到123这个文本文件中日志
这样全部的流量数据都保存下来了,以后咱们要作的就是过滤code
首先过滤端口
cat 123 |grep -C 2 999
-C 是为了把下一行的ip,也就是来源ip留下来,以后过滤本地的内网ip
cat 123 |grep -C 2 999 |grep -v 172.17.19.104
以后过滤本身的ip
cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 本身的ip
过滤掉http和https的
cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 本身的ip|grep -v https|grep -v http
过滤家里的对外ip
cat 123 |grep -C 2 999 |grep -v 172.17.19.104|grep -v 本身的ip|grep -v https|grep -v http |grep -v 家里的ip
过滤完成以后打开家中的服务器/var/log/secure
日志,接着等待对方爆破时候的ip,由于对方的爆破速度很慢通常貌似是一分钟一次,我也不知道他为何要这么操做一旦日志中出现下面这些日志
Jun 13 16:32:47 bboysoul-nas sshd[4139]: Invalid user kg from 127.0.0.1 port 38714 Jun 13 16:32:47 bboysoul-nas sshd[4139]: input_userauth_request: invalid user kg [preauth] Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): check pass; user unknown Jun 13 16:32:47 bboysoul-nas sshd[4139]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost Jun 13 16:32:48 bboysoul-nas sshd[4139]: Failed password for invalid user kg from 127.0.0.1 port 38714 ssh2
我就去看123中新增的ip,最终仍是被我找到了
218.108.32.196
以后我在阿里云的机器上把这个ip禁止访问99端口
iptables -I INPUT -s 218.108.32.196 -p TCP --dport 999 -j DROP
原本我是想收集这个ip的信息以后看看能不能找到什么的,可是找到一半我意识到了一点,这机器是个肉鸡,我找这台机器的信息没用
本觉得这事情就过去了,可是次日,又发生了爆破的事情,并且不止一个ip,因此以前的办法就没有用了,我写了一个脚本
#!/bin/bash while true do netstat -an|grep 999 >> ip.log sleep 1 done
就是一秒钟执行netstat -an|grep 999 >> ip.log
这个命令一次,以后把全部在999 端口创建过链接的ip都存放到ip.log这个文件中,接着继续使用过滤大法
cat ip.logout|grep -v ":::999" |grep -v 家里ip|grep -v 本身的ip
终于找到了下面这几个ip
DROP tcp -- 223-197-243-5.static.imsbiz.com anywhere tcp dpt:999 DROP tcp -- 155.ip-37-59-98.eu anywhere tcp dpt:999 DROP tcp -- 103.80.134.82 anywhere tcp dpt:999 DROP tcp -- 120.132.117.254 anywhere tcp dpt:999 DROP tcp -- 218.108.32.196 anywhere tcp dpt:999
这下世界终于清静了
欢迎关注Bboysoul的博客www.bboysoul.com
Have Fun