2016-3-7 记录

今天打开电脑云锁客户端常规检查 SSH 被破解的记录。
我昨天才更换 CSF 为云锁就发现这厮一直在作恶,遂通过百度此恶发现了“恶贯满盈”。

为增强主机安全我又增加了防线:
1.修改 SSH 密码
2.区域,时间段登陆
3.Hosts_deny,来自东北大学

ldd `which sshd` | grep libwrap 
# 确认 sshd 是否支持 TCP Wrapper,输出类似:libwrap.so.0 => /lib/libwrap.so.0 (0x00bd1000)
cd /wp-content/local/bin/
wget antivirus.neu.edu.cn/ssh/soft/fetch_neusshbl.sh
chmod +x fetch_neusshbl.sh
cd /etc/cron.hourly/
ln -s /wp-content/local/bin/fetch_neusshbl.sh .
./fetch_neusshbl.sh

2016-9-22 增加新脚本,自动 hosts_deny,来自虫虫开源。

wget https://raw.githubusercontent.com/zhangnq/scripts/master/bash/sshbl_deny.sh
mv sshbl_deny.sh /etc/cron.daily/
chmod +x /etc/cron.daily/sshbl_deny.sh

Hosts.deny 方式会自动更新网络威胁名单中的 IP。此方法来自出名的东北大学网络中心网络威胁黑名单系统,以前看到过,今天派上用上了。还有类似办法:虫虫开源发起 SSH 攻击 IP 地址

用命令可以看到黑名单:cat /etc/hosts.deny,黑名单数量大概 5540 条。

附:Linux CSF 防火墙