Security

通過 IP 進行的 SSH 攻擊被阻止

  • February 15, 2012

我執行有一個奇怪問題的 CentOS 5.7 64 位伺服器。

當我在查看我的日誌時,/var/log/secure我注意到一個奇怪的 IP 正在嘗試使用許多奇怪的使用者名連接到 ssh。

日誌輸出:http ://pastebin.com/raw.php?i=3uYjPrLL

我執行了已經阻止了這個 IP 的 fail2ban,我還通過 iptables 再次手動阻止了這個 IP。

執行iptables -n -L我得到了這個輸出:

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
DROP       all  --  50.115.166.129       0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

因此,塊就位。iptables 也在執行,我已經通過 iptables 阻止了許多 IP,並且這些塊都工作正常。

但不知何故,這個IP能夠到達我的機器。知道這怎麼可能嗎?

問題是您的fail2ban-SSH鏈正在應用於埠 22 的流量,這不是您的 sshd 正在偵聽的位置。所以fail2ban 從auth 日誌中提取失敗,並正確更新拒絕鏈。但是 ssh 流量永遠不會發送到該鏈,所以你的不法之徒,現在被阻止與埠 22 通信,仍然能夠在 2222 上與 sshd 通信。

假設您使用的是標準 CentOS /etc/sysconfig/iptables,您需要更改filter目前顯示類似內容的部分中的行

-A INPUT -p tcp --dport 22 -j fail2ban-SSH

-A INPUT -p tcp --dport 2222 -j fail2ban-SSH

至於您的手動放置,您已

689M  126G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2222 state NEW

所以它永遠不會被呼叫來限制埠 2222 的新流量,或者任何此類連接中的後續數據包,因為那些已經被允許。規則的順序在 iptables 中至關重要,因為第一個決定性匹配獲勝。

引用自:https://serverfault.com/questions/360290