分类目录归档:安全

rex advent—— rex 批量部署sshd密码尝试攻击脚本

1、首先是防攻击脚本,原理是扫描/var/log/secure文件,发现一小时内尝试密码错误超过30次的ip,则
将该ip加入iptables黑名单drop掉。

2、将该脚本保存为block_ssh.sh
3、创建一个上传任务,把该文件上传到远程服务器,给予执行权限。加入crontab 每5分钟执行一次。

 

rex advent ——rex 做远程主机登录账号审计

1、账号,最经登录时间和ip

继续阅读

tomcat 只监听一个端口

tomcat默认会监听3个端口:

一个主端口,默认为8080
一个shutdown端口,默认8005
还有一个AJP1.3端口,默认8003

实际上后两个端口是非必须,尤其shutdown虽然默认是监听在127.0.0.1但是连接到这个端口,发送SHUTDOWN就可以无任何验证把tomcat关闭掉,有安全隐患的。
AJP端口用来在应用服务器交互时候用,比如apache链接tomcat等,一般也用不着,可以禁止掉。
继续阅读

屏蔽ssh恶意扫描ip的脚本

近来发现有ip恶意扫描服务器,写个脚本自动对恶意攻击的ip进行封禁。主要原理是定期crontab任务分析secure日志(扫描尝试登陆的会有错误日志),超过错误次数就将其加入iptables DROP 链接。可以在一定程度上访问恶意攻击提供,安全性。附上脚本(代码另存为/root/block_ssh.sh。执行echo "*/5 * * * * root /root/block_ssh.sh" >>/etc/crontab 每5分钟检查一次文件。) 继续阅读

当网站发生木马时候怎么处理?

1、了解服务器异常情况。

常见异常情况:异常的流量、异常tcp链接(来源端口,往外发的端口)、异常的访问日志(大量的ip频繁的访问个别文件)

2、根据服务器情况判断(lastlog secure日志等扥),是否权限已经被攻陷。如果发现异常用户,立即修改用户密码,pkill -kill -t  tty 剔除异常用户。然后进行进一步处理。

继续阅读