Security
通過 IP 進行的 SSH 攻擊被阻止
我執行有一個奇怪問題的 CentOS 5.7 64 位伺服器。
當我在查看我的日誌時,
/var/log/secure
我注意到一個奇怪的 IP 正在嘗試使用許多奇怪的使用者名連接到 ssh。日誌輸出:http ://pastebin.com/raw.php?i=3uYjPrLL
我執行了已經阻止了這個 IP 的 fail2ban,我還通過 iptables 再次手動阻止了這個 IP。
執行
iptables -n -L
我得到了這個輸出:Chain fail2ban-SSH (1 references) target prot opt source destination DROP all -- 50.115.166.129 0.0.0.0/0 RETURN all -- 0.0.0.0/0 0.0.0.0/0
因此,塊就位。iptables 也在執行,我已經通過 iptables 阻止了許多 IP,並且這些塊都工作正常。
但不知何故,這個IP能夠到達我的機器。知道這怎麼可能嗎?
問題是您的
fail2ban-SSH
鏈正在應用於埠 22 的流量,這不是您的 sshd 正在偵聽的位置。所以fail2ban 從auth 日誌中提取失敗,並正確更新拒絕鏈。但是 ssh 流量永遠不會發送到該鏈,所以你的不法之徒,現在被阻止與埠 22 通信,仍然能夠在 2222 上與 sshd 通信。假設您使用的是標準 CentOS
/etc/sysconfig/iptables
,您需要更改filter
目前顯示類似內容的部分中的行-A INPUT -p tcp --dport 22 -j fail2ban-SSH
說
-A INPUT -p tcp --dport 2222 -j fail2ban-SSH
至於您的手動放置,您已在說
689M 126G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
和
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 state NEW
所以它永遠不會被呼叫來限制埠 2222 的新流量,或者任何此類連接中的後續數據包,因為那些已經被允許。規則的順序在 iptables 中至關重要,因為第一個決定性匹配獲勝。