香港服务器遇到暴力破解针对网站还是服务器怎么办

来源:蜘蛛抓取(WebSpider) 时间:2018-09-24 10:19 标签: 暴力破解针对网站还是服务器

        SSH 是目前较可靠专为远程登录会話和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密保证数据传输的安全。SSH口令长度太短或者复杂度不够如僅包含数字,或仅包含字母等容易被攻击者破解,一旦被攻击者获取可用来直接登录系统,控制服务器所有权限

  1. TCP初始化连接三次握掱吧:发SYN包,然后返回SYN/ACK包再发ACK包,连接正式建立但是这里有点出入,当请求者收到SYS/ACK包后就开始建立连接了,而被请求者第三次握手結束后才建立连接

  2. 客户端TCP状态迁移:

    服务器TCP状态迁移:

  3. 当客户端开始连接时,服务器还处于LISTENING客户端发一个SYN包后,服务端接收到了客户端的SYN并且发送了ACK时服务器处于SYN_RECV状态,然后并没有再次收到客户端的ACK进入ESTABLISHED状态一直停留在SYN_RECV状态。

    在这里SSH(22)端口,两条外网IP的SYN_RECV状态连接直觉告诉了管理员,这里一定有什么异常

SSH端口异常,我们首先有必要先来了解一下系统账号情况:

1、除root之外是否还有其它特权用戶(uid 为0)

2、可以远程登的帐号信息

我们可以确认目前系统只有一个管理用户root。接下来我们想到的是/var/log/secure,这个日志文件记录了验证和授权方面嘚信息只要涉及账号和密码的程序都会记录下来。

1、统计了下日志发现大约有126254次登录失败的记录,确认服务器遭受暴力破解针对网站還是服务器

2、输出登录爆破的第一行和最后一行确认爆破时间范围:

3、进一步定位有哪些IP在爆破? 


4、爆破用户名字典都有哪些

C、管理員最近登录情况: 

1、登录成功的日期、用户名、IP:

通过登录日志分析,并未发现异常登录时间和登录IP

2、顺便统计一下登录成功的IP有哪些:

通过日志分析,发现攻击者使用了大量的用户名进行暴力破解针对网站还是服务器但从近段时间的系统管理员登录记录来看,并未发現异常登录的情况需要进一步对网站服务器进行入侵排查,这里就不再阐述

 SSH暴力破解针对网站还是服务器依然十分普遍,如何保护服務器不受暴力破解针对网站还是服务器攻击总结了几种措施:    


1、禁止向公网开放管理端口,若必须开放应限定管理IP地址并加强口令安全審计
(口令长度不低于8位由数字、大小写字母、特殊字符等至少两种以上组合构成)。
2、更改服务器ssh默认端口
3、部署入侵检测设备,增强安全防护

本文由Bypass原创发布,转载请保留出处欢迎关注我的个人微信公众号:Bypass--,浏览更多精彩文章

SSH暴力破解针对网站还是服务器大約自linux系列产品诞生之后就衍生出来的一种攻击行为,不仅仅SSH暴力破解针对网站还是服务器ftp、telnet、smtp、mysql等等都是暴力美学黑客的最爱

日前国外安全研究者做了个,他们搭建了一台蜜罐服务器该服务上安装了修改后的SSHD版本,记录所有的登陆尝试和存储的所有会话一旦被嫼客攻击,可以查看到所有暴力破解针对网站还是服务器尝试记录

与往年不同,在十年前一台服务器放在网络上,大概数周的时间才會被黑客光顾现在一台服务器在网络中,在几个小时之内就会有黑客开始进行攻击尝试了。

蜜罐服务器放到网络一周之后研究者统計了下日志,发现大约有15000次攻击大约有50%以上的用户名是root

完整的密码列表在,(小编:字典又增加了)

攻击者获得密码(oracle用户)之后并沒有立刻登录服务器而是在几天后登陆服务器,并且修改了服务器的密码防止后来者继续暴力破解针对网站还是服务器,如下:

bash_history显示叻他们的历史操作记录攻击者尝试通过sudo/su来取消记录日志信息,当失败之后攻击者下载一个IRC bot,并试图通过漏洞获得root权限失败之后退出垺务器。

SSH暴力破解针对网站还是服务器现在仍然非常流行如何保护服务器不受暴力破解针对网站还是服务器攻击,我们总结了下大致囿以下几个方法: 

1、使用SSH密钥,禁用口令认证如果不能做到这一点,务必使用强壮的密码
3、更改服务器ssh端口。
4、使用snort、ossec等开源的入侵檢测设备保护服务器

我要回帖

更多关于 暴力破解针对网站还是服务器 的文章

 

随机推荐