Chinaunix

标题: 刚开ssh服务就好多扫描的。 [打印本页]

作者: yangprc 时间: 2006-10-08 12:37
标题: 刚开ssh服务就好多扫描的。
刚开了ssh，然后允许了22端口，就发现好多扫描的。真是迅速啊。
后来把默认端口给改了，世界清净了。

作者: dogking 时间: 2006-10-08 12:41
怎么查自己被扫描？
望楼主赐教。谢谢

作者: yangprc 时间: 2006-10-08 12:49
看/var/log/secure这个日志，好多失败的记录

作者: moxnet 时间: 2006-10-08 13:02
每天能上千次至少

不改端口，心里那个不爽吧

作者: zhangweizj 时间: 2006-10-08 13:19
我的怎么没人扫，奇怪了。

作者: cnny 时间: 2006-10-08 13:43
其实开也没有太大的关系，只要设置了足够好的密码。

作者: charly 时间: 2006-10-08 15:32
改个端口，把22改成一个另一个奇怪的端口号即可。

作者: foway 时间: 2006-10-08 16:58
不改也可以的哈: 你对ssh授权访问.比如某个IP,或IP段.这样其他的对于22口是关闭的.就是扫描他也扫不到

作者: niezhenqun 时间: 2006-10-08 17:26
标题: 回复 1楼 yangprc 的帖子
你怎么不在/etc/hosts.all上加限制呀，在不起用IPTABLES情况下我感觉这个做法是相对安全的。

作者: langue 时间: 2006-10-08 18:04

原帖由 charly 于 2006-10-8 15:32 发表
改个端口，把22改成一个另一个奇怪的端口号即可。

是啊，开个 IPsec 再透过 IPsec 登陆上面的 sshd 或许更佳……

作者: yangprc 时间: 2006-10-08 18:33
等我google下hosts.allow 和ipsec

作者: yangprc 时间: 2006-10-08 18:35
这两个文件是tcpd服务器的配置文件，tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下：

#服务进程名:主机列表:当规则匹配时可选的命令操作
server_name:hosts-list[:command]

/etc/hosts.allow控制可以访问本机的IP地址，/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突，以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例：

ALL:127.0.0.1 #允许本机访问本机所有服务进程
smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务

ALL关键字匹配所有情况，EXCEPT匹配除了某些项之外的情况，PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。

作者: yangprc 时间: 2006-10-08 18:37
IPsec好像看起来比较复杂

作者: 寂寞烈火 时间: 2006-10-08 19:19
装个portsentry,来对付这些扫描者

作者: 大酷牛佳佳 时间: 2006-10-08 20:58
学习

作者: hiwoody 时间: 2006-10-08 20:58
提示: 作者被禁止或删除内容自动屏蔽

作者: kelela 时间: 2006-10-08 22:12
我架的服务器向来不改ssh端口，不过密码是16位混插，暴力破解可能性基本为0

作者: langue 时间: 2006-10-08 22:18

原帖由 kelela 于 2006-10-8 22:12 发表
我架的服务器向来不改ssh端口，不过密码是16位混插，暴力破解可能性基本为0

计时分析攻击，味道怎么样呢？除非你不从因特网上连 SSH

timing attack

主要也就是找到你的 SSH2 私钥，然后看看你都输入了些什么。

作者: kelela 时间: 2006-10-08 22:22

原帖由 langue 于 2006-10-8 22:18 发表

计时分析攻击，味道怎么样呢？除非你不从因特网上连 SSH

timing attack

主要也就是找到你的 SSH2 私钥，然后看看你都输入了些什么。

passwd认证，没有用密钥方式。有问题么
而且这是早期版本的问题了：
http://www.xfocus.net/vuls/200303/3717.html

[ 本帖最后由 kelela 于 2006-10-8 22:25 编辑 ]

作者: langue 时间: 2006-10-08 22:25

原帖由 kelela 于 2006-10-8 22:22 发表

passwd认证，没有用密钥方式。有问题么

呵呵，只要你用非对称密钥，根据 timing attack 的原理，可以滴。因为服务器上有私钥，我要的就是它。

BTW，还没有人用 ssh 的时候不用到 public key crypto 吧？

作者: kelela 时间: 2006-10-08 22:36

原帖由 langue 于 2006-10-8 22:25 发表

呵呵，只要你用非对称密钥，根据 timing attack 的原理，可以滴。因为服务器上有私钥，我要的就是它。

BTW，还没有人用 ssh 的时候不用到 public key crypto 吧？

早期的漏洞。如果安全性那么差，我想RHEL就不会用到了。
ok。给你一个我的服务器ip:211.90.107.26，欢迎扫描

作者: langue 时间: 2006-10-08 22:45

原帖由 kelela 于 2006-10-8 22:36 发表

早期的漏洞。如果安全性那么差，我想RHEL就不会用到了。
ok。给你一个我的服务器ip:211.90.107.26，欢迎扫描

你认为我会去扫么

% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum:    211.90.0.0 - 211.91.255.255
netname:    UNICOM
country:    CN
descr:       China United Telecommunications Corporation
admin-c:    UCH1-AP
tech-c:    UC6-AP
status:    ALLOCATED PORTABLE
changed:    ipas@cnnic.net.cn 20020917
mnt-by:    MAINT-CNNIC-AP
source:    APNIC

role:       Unicom China Hostmaster
address:    911 Room,Xin Tong Center,No.8 Beijing Railway Station
address:    East Avenue, Beijing,PRC.
country:    CN
phone:       +86-10-6527-8866
fax-no:    +86-10-6526-0124
e-mail:    ip_address@cnuninet.com
admin-c:    RX9-AP
tech-c:    RX9-AP
nic-hdl:    UCH1-AP
notify:    ip_address@cnuninet.com
mnt-by:    MAINT-CN-CNNIC-UNICOM
changed:    hostmaster@apnic.net 20010820
source:    APNIC

person:    Unicom China
address:    911 Room,Xin Tong Center,No.8 Beijing Railway Station
address:    East Avenue, Beijing,PRC.
country:    CN
phone:       +86-10-6527-8866
fax-no:    +86-10-6526-0124
e-mail:    ip_address@cnuninet.com
nic-hdl:    UC6-AP
mnt-by:    MAINT-CNNIC-AP
changed:    ip_address@cnuninet.com 20010521
changed:    hostmaster@apnic.net 20010820
source:    APNIC

作者: kelela 时间: 2006-10-08 23:00

原帖由 langue 于 2006-10-8 22:45 发表

你认为我会去扫么

这是我的机器，你没看错

作者: langue 时间: 2006-10-08 23:02
还是切入正题。讨论一下 RSA 的破解。暴力的就算了吧，这个是 last resort

作者: cx6445 时间: 2006-10-08 23:26
扫就扫啊，你随便设过6位数的密码就够别人扫好长时间的，设个复杂点8位密码就够别人扫几年的了

作者: langue 时间: 2006-10-08 23:43

原帖由 cx6445 于 2006-10-8 23:26 发表
扫就扫啊，你随便设过6位数的密码就够别人扫好长时间的，设个复杂点8位密码就够别人扫几年的了

你的是别人渴望已久的远程文件仓库呢，而且是某 ISP 的门户？

作者: susbin 时间: 2006-10-09 02:12
改 sshd port 只能甩掉一些入门级的玩家，专业级的是不吃这个的。
14楼， 15楼说的都很对。是CU的高手吧。

TcpWrappers 比较灵活易用，可以保护不同的服务，比如 sambd, ftpd. 不足的是不能控制到用户。sshd 就可以。

说到 RSA 的破解，就比较有意思了。
近几个月，媒体报道了山东大学信息安全实验室王小云破译 MD5、 HAVAL－128、MD4和RIPEMD等四个著名密码算法。
http://www.ocn-miami.com/color_ocn/373/htmls/ml/ml_02.htm

当时读了，真的很高兴。后来发现不是完全破解：
ZT关于王小云破解MD5之我见
http://www.xys.org/~science/forum/db/2/169.html

就这也很了不起，老美说搞破解的这几个人是疯了，就是承认她们的想法和解法已经不是常人所能想象。

作者: yangprc 时间: 2006-10-09 08:15
引来好多高手讨论啊，学习了不少。继续等

作者: susbin 时间: 2006-10-09 08:38
山东大学信息安全实验室
http://www.infosec.sdu.edu.cn/

Professor Xiaoyun Wang
http://www.infosec.sdu.edu.cn/people/wangxiaoyun.htm

信息安全实验室近五年发表的论文
http://www.infosec.sdu.edu.cn/paper.htm

作者: lingfen1552 时间: 2006-10-09 08:52
学习ing…………

作者: caichang 时间: 2006-10-09 09:11
我也学习下！还是有不太明白的！

作者: cx6445 时间: 2006-10-09 09:28

原帖由 langue 于 2006-10-8 23:43 发表

你的是别人渴望已久的远程文件仓库呢，而且是某 ISP 的门户？

没关系，有本事就把密码猜出来，一切用结果来说话

作者: kingnowok 时间: 2006-10-09 12:36
阅

作者: hmily36 时间: 2006-10-09 16:36
我的也是很多在扫描，还是台湾的IP，那家伙整了一天

作者: 镖佳昙 时间: 2006-10-09 17:12
呵呵，改端口，改不成功登录次数，改登录时间限制，改改改，一改再改。

作者: 江南人 时间: 2006-10-09 17:53
怎么改这个端口呀？？？我也试试～～～

作者: smallcat28 时间: 2006-10-09 22:12
登录次数限制是在哪里改动啊？？

作者: kelela 时间: 2006-10-10 00:53
我提供的那台机器可不是什么门户，而是一个登录机，用作登录MAN的所有骨干和非骨干交换机的
也就是说，通过它，可以控制覆盖一个城市的交换机，刺激否？
不过暴力破解意义不大，因为密码很长并且没有规律，并且除了sshd，没有启其他网络服务。
日志中可以看到不同国家的ip的暴力破解尝试，不过这种尝试，个人认为很徒劳
最常见的，就是把字典里的用户和密码逐个试一遍，然后希望撞大运的。。。尝试的用户名，居然还有microsoft。。。还有其他ip，干脆就和root帐号死磕了
暴力破解，试试ghost版的家庭pc的winxp，或许有效（很多ghost版xp用户名是new，密码空

）

作者: susbin 时间: 2006-10-10 03:50
这么多好学的。佩服。

billyc123@CU 在Solaris 版就提供了一本书, 可下载：

O'Reilly - SSH the Secure Shell The Definitive Guide.pdf
ftp://202.96.64.144/pub/books/

作者: Coolriver 时间: 2006-10-10 08:56
用Key不是就全部问题解决了

作者: limits 时间: 2006-10-10 09:45
linux下SSH改端口就是简单。哪像win这么麻烦！

作者: 阿辉 时间: 2006-10-10 10:09
可以试试用denyhosts。我用起来效果还是不错的。

http://hi.baidu.com/farmerluo/bl ... 2f2e087bf48083.html

作者: lixu 时间: 2006-10-10 11:46
有人扫描很正常，但是我觉得不容易能登录近来~~~
我的机器也有很多人扫，你自己写个脚本，分析日志，连续扫描50次以上的
用iptables drop掉，半小时以后删除规则使这个ip可以正常访问到服务器，
再扫再封，封了再解……

这个办法怎么样，呵呵。

作者: wolfter 时间: 2006-10-10 11:52
标题: 不是吧！IPSec上用SSH不是浪费．
不是吧！IPSec上用SSH不是浪费．

作者: deargentle 时间: 2006-10-10 11:55
听我的，安装一个portsentry，好使的很。
楼上说的，denyhosts应该也不错

[ 本帖最后由 deargentle 于 2006-10-10 11:56 编辑 ]

作者: kuaizaifeng 时间: 2006-10-10 15:20
恩，学习了

作者: asd0109 时间: 2006-10-10 20:55

原帖由 kelela 于 2006-10-8 22:36 发表

早期的漏洞。如果安全性那么差，我想RHEL就不会用到了。
ok。给你一个我的服务器ip:211.90.107.26，欢迎扫描

顶！支持！

linux 的企业服务器版怎么可能采用已经有漏洞的版本呢。(未知漏洞没辙)

在我看来，爱扫不扫，爱登陆不登陆，无所谓反正我密码够强就行了。

win 下的3389 不是一样有人扫描么，管他呢，ssh 比 3389 安全多了。

作者: yangprc 时间: 2006-10-10 20:58

原帖由 lixu 于 2006-10-10 11:46 发表
有人扫描很正常，但是我觉得不容易能登录近来~~~
我的机器也有很多人扫，你自己写个脚本，分析日志，连续扫描50次以上的
用iptables drop掉，半小时以后删除规则使这个ip可以正常访问到服务器，
再扫再封，封了 ...

共享一下

作者: wildgoose 时间: 2006-10-11 17:33
那你应该自豪才对，就像美女上街如果打开领口都没人看，那才没面子呢

作者: lixu 时间: 2006-10-12 10:40
哈哈，还是楼上的大哥有见地！
要是不让别人看显得太保守，一看就全脱太淫荡。
所以，就这样挺好……

作者: wincat 时间: 2006-10-12 12:14
佩服呀

作者: kizi 时间: 2006-10-12 18:40
up!!

作者: likuku 时间: 2006-10-13 11:12

原帖由 susbin 于 2006-10-10 03:50 发表
这么多好学的。佩服。

billyc123@CU 在Solaris 版就提供了一本书, 可下载：

O'Reilly - SSH the Secure Shell The Definitive Guide.pdf
ftp://202.96.64.144/pub/books/

哈哈，奥莱理的 <<SSH 权威手册>> 我买过一本中文版的，很不错。

作者: likuku 时间: 2006-10-13 13:13

原帖由 langue 于 2006-10-8 22:25 发表

呵呵，只要你用非对称密钥，根据 timing attack 的原理，可以滴。因为服务器上有私钥，我要的就是它。

BTW，还没有人用 ssh 的时候不用到 public key crypto 吧？

常识错误，要登录的服务器上只要保存公钥就是了。私钥在你客户端一定要安全保存。

公钥，你就放到任何一台你要登录的服务器就是了。

sshd_conf 本身就可以作以下配置：

仅使用公钥认证(其他认证方式一律禁用)，禁止root登录，只允许特定用户登录，更可限制为允许特定IP/IP段主机登录。

[ 本帖最后由 likuku 于 2006-10-13 13:15 编辑 ]

作者: macer 时间: 2006-10-14 12:02
标题: 211地址
211的地址真是扫不得呀！！虽然你这台REDHAT没做限制，但你前面的PIX呢？？？兄弟要厚道嘛！！不然岂不是让人白费工夫嘛

作者: modemTNT 时间: 2006-10-18 18:49
我一般都是先修改断口和加过滤规则！

作者: anthonyfeng 时间: 2006-10-18 20:07
一般可以更改端口，对登录用户名限制，时间限制，登录source ip 限制，对登录后，能运行的命令限制(非root登录)，对每分钟尝试登录次数限制，再加证书登录+口令限制，以及sshd 保持最新版本，这样搞作之后，ssh 可以视为很安全。

作者: loulancn 时间: 2006-10-18 20:50
1、iptables做IP限制。
2、更改端口。
3、Key认证。

关于Key认证的，可以看这里　　http://loulan.lapp.cn/?action=show&id=49

作者: zhangweibo 时间: 2006-10-21 00:27
我一般用iptables限制ssh每分钟尝试连接的次数，比如3次，超过3次就封闭，暂时不能连接

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)