清明节在家没事,申请了一台“免费云服务器”(要五天帮人家打一次广告O(∩_∩)O~)。现在都是云服务器时代了,就好像自己有一台电脑,你可以给其装系统,对系统可以各种配置,限制很少可玩性很强。上学那会儿(09年左右),我玩的只是虚拟空间或者虚拟主机。
虚拟空间,也称虚拟主机,就是利用软硬件技术将磁盘分成多个独立的运行区域。那时候建站,就是把代码放到指定的目录,配置域名、FTP等信息。能做的安全防护,基本仅限于自身网站的各种漏洞和配置,功能全些的就是能指定某些IP段访问或不访问。那时候,有一种攻击手法,叫做“旁注攻击”。大体原理就是:目标网站防御太强悍,就拿同服务器下其他网站下手,等到控制服务器权限后,再对目标网站随意下手。好久远的回忆...
这次没事申请了“云服务器”,安装了Centos7,原本就是想着重温当年当草根站长的日子(表弟学计算机,问我要便宜的服务器)。结果,第二天就有意料之内的事情发生了。被攻击截图
装系统时,为了尽量各种简单,就在上面装了“宝塔Linux面板”(表弟大二,初学者碰见各种烦的问题容易打退堂鼓,先能做成,再深究根本,这是我一项的原则)。这个“宝塔面板”的后台首页,有一个安全提醒功能(为了推广宝塔运维版)。这个检测控件,显示我有5k的远程登录失败的警报!5k的量意味着别人在对我进行,SSH远程暴库攻击。
系统新装,没有进行过任何安全设置。所以有心人,就会整天挂着自动扫描器,扫各种IP段,看看那些服务器开着默认端口,万一碰上弱口令,那真是捡到的!这个SSH远程暴库攻击,要满足几个条件:
1、SSH远程连接的默认端口没有修改;
这一条是登录路径问题,同样适用网站后台默认登录地址的情况。以前很多人扫注入漏洞,得到账号密码就是去找后台登录地址。因为大部分网站,都是固定的源码,后台登录界面都是固定的。有账号密码,又找到了登录页面,那进后台基本就没跑了。不少工具骇客就是,因为找不到登录页面在手里有账号密码的情况下,也无法成功入侵网站。所以,服务器或网站上线之前,一定要修改一个比较不易找到的登录地址或端口。
2、默认管理员root 账号没有禁用远程访问;
无论Windows 还是 Linux 系统,都有自己特定的最高管理员账号。自己电脑,这方面无关紧要,这么多层的路由器,我们电脑躲在里面其实已经安全不少了。但是放在公网的服务器,任何人都可以试图通过IP和相应远程访问端口,进行账号的登录。骇客知道登录地址可以尝试连接我,骇客知道默认账号可以尝试暴力猜解密码。如果密码被猜中,那服务器就玩完了。
3、多次远程登录失败,没有将其IP加入黑名单。
服务器远程登录访问这是必有的功能,你不可能给服务器连接一台显示器本地登录。也基本不可能,屏蔽所有IP只留下一两个IP进行远程操控(万一IP突然变了,毕竟我们用的大部分是动态分配的)。服务器既然可以设置指定IP允许访问和禁止访问,那也就可以通过脚步进行控制,某IP登录多少次失败,将其加入黑名单。日常使用,也是如此操作的。
这篇博客写了具体操作:centos7添加ip黑名单禁止某个ip访问
以上截图是,此次攻击的最终截图。其实,我非常想让他猜对密码,我想看看他会对我服务器做什么。为此,我还特意把服务器密码改成了“123456789”。既然是给表弟进行教学,那对方爆破成功后做哪些和产生什么危害,也是非常好的教材。结果... 到第三天截图时,仍然没有破解成功。也许我修改的密码,对方的字典库已经跑过去了。想想,还是进行一些安全配置,终止这次被攻击算了。然后就设置了,登录50次失败就将IP设置到黑名单。
从日志看,对方在发现IP被拒绝后,又换其他IP进行了尝试。这两个IP都是服务器,也就是说,这两台服务器都是肉鸡了(如果是我,绝对不可能自己买服务器,搭建成扫描入侵环境。容易被抓,有钱烧的)。相同IP也攻击过其他网站,如贴:对章郎虫所拥有主机发起ssh攻击
其实还有一个非常好的防范方式,就是由互联网大佬搭建一个 “入侵IP举报平台”。所有系统管理员,都将自己入侵自己服务器的IP进行举证,提交平台。通过大数据,汇总出沦为肉鸡的服务器IP。系统管理员,对接这个平台。实时获取自己当前服务器所占用的IP是否对其他服务器进行了某种攻击。这样,整个网络的系统管理们,就可以互帮互助,互相提醒!