我的网站被暴力破解后之 ssh 加固与 Nginx 流量控制

本贴最后更新于 1120 天前,其中的信息可能已经东海扬尘

我的网站被暴力破解后之 ssh 加固与 Nginx 流量控制

一、发现

当我登录我的服务器看到下面这行英文时,我就知道没那么简单
There were 622 failed login attempts since the last successful login.
我们查看一下/var/log/secure 这个文件,查看 ssh 登陆纪录

我们
果然发现大量肉鸡 ssh 我们的服务器,这些 IP 全部来源于海外,我们截取其中的一段进行分析

Nov 28 10:56:35 website sshd[13040]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=219.255.172.20  user=root
Nov 28 10:56:35 website sshd[13040]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Nov 28 10:56:37 website sshd[13040]: Failed password for root from 219.255.172.20 port 44562 ssh2
Nov 28 10:56:37 website sshd[13040]: Received disconnect from 219.255.172.20 port 44562:11: Bye Bye [preauth]
Nov 28 10:56:37 website sshd[13040]: Disconnected from 219.255.172.20 port 44562 [preauth]

这段话的意思是 219.255.172.20 这个 ip 使用错误的密码尝试登陆我的服务器,也就是俗称的 ssh 暴力破解!

二、处理

注意:公有云环境可以通过安全组限制源 IP,因为笔者有远程运维的需求,所以这种方案被我 PASS 掉了,其他小伙伴可以采用这种方案,也是最安全有效的

2.1、更改 ssh 默认端口

我这里是将 22 端口更改为 2222 端口,使用其他把下面命令中的 2222 更改即可

sed -i 's/#Port 22/Port 2222/g' /etc/ssh/sshd_config    ##更改为2222端口
systemctl restart sshd    ##重启ssh服务,当前连接不会断开,下次连接需要使用2222端口

注意:如果是公有云环境,需要在安全组放通上面开放的端口

2.2、用/etc/hosts.allow 和/etc/hosts.deny 来控制

思路:我们可以写一个脚本,通过/var/log/secure 中,通过统计访问失败的 ip,超过四次就将他加入到/etc/hosts.deny 中,加入之后就不能登录到服务器了,即使密码正确,必须要管理员来把他删掉才可以进入。把这个脚本加入 crontab 里。

2.2.1、添加常用 ip 到/etc/hosts.allow 中

先写/etc/hosts.allow。这个很关键。可以把我们日常登录的 ip 都写上,以免登录出错多了,登录不进去
比如我的 ip 是 33.33.33.33,我们可以这样写

vim /etc/hosts.allow

#####################
sshd:33.33.33.33:allow

2.2.2、编写脚本

脚本如下:

#!/bin/bash

cat /dev/null > /root/black.deny

awk '/Failed/{time[$(NF-3)]++}END{for(ip in time) if(time[ip]> 4)print ip}' /var/log/secure >> /root/black.deny

for i in `cat /root/black.deny`
do
       grep $i /etc/hosts.deny > /dev/null
       if [ $? -ne 0 ]
       then
               echo "sshd:$i:deny"
               echo "sshd:$i:deny" >> /etc/hosts.deny
       fi
done

脚本解读
通过 awk 命令中的 for 循环于 if 语句,判断登陆失败的 times 是否超过 4,如果超过 4,那么我们将他的 ip 进行组合存入 hosts.deny 文件中,实现拒绝该 IP,上面还做了一个判断,已经存在的就不再添加了。

2.2.3、写入定时任务中

1 分钟执行一次,并把日志存到/var/log/ssh_deny.log 中

crontab -e 
 
0 */1 * * * sh /root/cron_sh/sshd_failed_4.sh >> /var/log/ssh_deny.log ##wq保存

systemctl restart sshd ##重启ssh服务

三、Nginx 配置防御 DDos,cc 等流量攻击

3.1、限制同一时间段 ip 访问次数

nginx 可以通过 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 配置来限制 ip 在同一时间段的访问次数.

  • ngx_http_limit_conn_module:该模块用于限制每个定义的密钥的连接数,特别是单个 IP 地址的连接数.使用 limit_conn_zone 和 limit_conn 指令.
  • ngx_http_limit_req_module:用于限制每一个定义的密钥的请求的处理速率,特别是从一个单一的 IP 地址的请求的处理速率。使用“泄漏桶”方法进行限制.指令:limit_req_zone 和 limit_req.

配置用法实例如下:

http { 
  limit_conn_zone $binary_remote_addr zone=addr:10m; 
   #定义一个名为addr的limit_req_zone用来存储session,大小是10M内存,
  #以$binary_remote_addr 为key,
  #nginx 1.18以后用limit_conn_zone替换了limit_conn,
  #且只能放在http{}代码段.
  ... 
  server { 
    ... 
    location /download/ { 
      limit_conn addr 1;   #连接数限制
      #设置给定键值的共享内存区域和允许的最大连接数。超出此限制时,服务器将返回503(服务临时不可用)错误.
       #如果区域存储空间不足,服务器将返回503(服务临时不可用)错误
    }

在这里插入图片描述
超过限制返回 503,如上图
可能有几个 limit_conn 指令,以下配置将限制每个客户端 IP 与服务器的连接数,同时限制与虚拟服务器的总连接数:

http { 
  limit_conn_zone $binary_remote_addr zone=perip:10m; 
  limit_conn_zone $server_name zone=perserver:10m 
  ... 
  server { 
    ... 
    limit_conn perip 10;      #单个客户端ip与服务器的连接数.
    limit_conn perserver 100;  #限制与服务器的总连接数
    }

参考文档:http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

3.2、限制某一时间内,单一 IP 的请求数.

ngx_http_limit_req_module:限制某一时间内,单一 IP 的请求数.
配置如下:

http {
 limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
 ...
  #定义一个名为one的limit_req_zone用来存储session,大小是10M内存,  
  #以$binary_remote_addr 为key,限制平均每秒的请求为1个,
  #1M能存储16000个状态,rete的值必须为整数,

 server {
   ...
   location /search/ {
     limit_req zone=one burst=5;
        #限制每ip每秒不超过1个请求,漏桶数burst为5,也就是队列.
        #nodelay,如果不设置该选项,严格使用平均速率限制请求数,超过的请求被延时处理.
        #举个栗子:
        #设置rate=20r/s每秒请求数为20个,漏桶数burst为5个,
        #brust的意思就是,如果第1秒、2,3,4秒请求为19个,第5秒的请求为25个是被允许的,可以理解为20+5
        #但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误.
        #如果区域存储空间不足,服务器将返回503(服务临时不可用)错误 
        #速率在每秒请求中指定(r/s)。如果需要每秒少于一个请求的速率,则以每分钟的请求(r/m)指定。 
        
   }

3.3、禁止 ip 或 ip 网段

统计每个 ip 的登陆次数

awk '{print $1}' access.log |sort |uniq -c|sort -n

在 nginx 的安装目录下面,新建屏蔽 ip 文件,命名为 guolv_ip.conf,以后新增加屏蔽 ip 只需编辑这个文件即可。 加入如下内容并保存:

deny 66.249.79.84 ;
在 nginx 的配置文件 nginx.conf 中加入如下配置,可以放到 http, server, location, limit_except 语句块,需要注意相对路径,本例当中 nginx.conf,guolv_ip.conf 在同一个目录中。

include guolv_ip.conf;
保存 nginx.conf 文件,然后测试现在的 nginx 配置文件是否是合法的:

nginx -t
如果配置没有问题,就会输出:

the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
configuration file /usr/local/nginx/conf/nginx.conf test is successful

如果配置有问题就需要检查下哪儿有语法问题,如果没有问题,需要执行下面命令,重载 nginx 配置文件:

service nginx reload
屏蔽 ip 的配置文件既可以屏蔽单个 ip,也可以屏蔽 ip 段,或者只允许某个 ip 或者某个 ip 段访问。

//屏蔽单个ip访问

deny IP; 

//允许单个ip访问

allow IP; 

//屏蔽所有ip访问

deny all; 

//允许所有ip访问

allow all; 

//屏蔽整个段即从123.0.0.1到123.255.255.254访问的命令

deny 123.0.0.0/8

//屏蔽IP段即从123.45.0.1到123.45.255.254访问的命令

deny 124.45.0.0/16

//屏蔽IP段即从123.45.6.1到123.45.6.254访问的命令

deny 123.45.6.0/24

//如果你想实现这样的应用,除了几个IP外,其他全部拒绝,
//那需要你在guolv_ip.conf中这样写

allow 1.1.1.1; 
allow 1.1.1.2;
deny all; 

单独网站屏蔽 IP 的方法,把 include guolv_ip.conf; 放到网址对应的在 server{}语句块,
所有网站屏蔽 IP 的方法,把 include guolv_ip.conf; 放到 http {}语句块。

参考网站:
https://my.oschina.net/u/2607135/blog/1844590
https://blog.csdn.net/qq_41201816/article/details/88136947

  • NGINX

    NGINX 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 NGINX 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本 0.1.0 发布于 2004 年 10 月 4 日。

    313 引用 • 547 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...