发起SSH攻击IP地址

现在的位置:虫虫开源 > 发起SSH攻击IP地址

以下是最近一个星期对章郎虫所拥有主机发起ssh攻击的ip地址,强烈建议把这些地址加入到/etc/hosts.deny列表中。

如果您的主机地址出现在本列表且不是您本人操作,那么请检查您的服务器。

部署

以root用户登陆服务器后执行以下命令,实现每日自动更新hosts.deny列表。

wget https://raw.githubusercontent.com/zhangnq/scripts/master/bash/sshbl_deny.sh

mv sshbl_deny.sh /etc/cron.daily/

chmod +x /etc/cron.daily/sshbl_deny.sh

IP分享接口

您也可以通过我们的接口把疑似SSH攻击的IP传给我们,谢谢!

接口说明:

Url: http://www.sijitao.net/api/ssh_attack.php

Request Type: POST

Parameters: action(add,update) ip

Example Request: curl -X POST --data 'action=add' --data 'ip=1.2.3.4' http://www.sijitao.net/api/ssh_attack.php

Example Response: {"resultCode":200,"message":"ok"}

SSH攻击列表

IP地址 最近发现时间 攻击次数 归属地信息
64.41.86.1282018-05-27 17:43:278美国
183.237.4.2482018-05-27 16:31:353中国 广东省 移动
60.221.230.22018-05-27 11:09:294中国 山西省 吕梁市 联通
103.99.3.1582018-05-27 09:33:4536亚太地区
222.186.191.1172018-05-27 08:56:324中国 江苏省 镇江市 电信
39.115.204.2222018-05-27 05:40:078韩国
183.57.72.512018-05-27 04:48:2910中国 广东省 佛山市 电信
111.231.231.2082018-05-27 02:38:065中国 北京市
188.166.216.842018-05-27 02:07:5714俄罗斯
101.205.120.592018-05-27 02:00:5122中国 四川省 联通
78.196.118.1572018-05-27 01:43:364法国
200.254.119.502018-05-26 18:17:0027巴西
14.23.77.1542018-05-26 17:06:194中国 广东省 电信
109.248.9.92018-05-26 14:33:5849俄罗斯
147.75.119.1582018-05-26 11:41:484瑞士
145.239.73.2322018-05-26 11:05:304英国
117.66.243.772018-05-26 10:58:088中国 安徽省 安庆市 电信
119.28.7.2432018-05-26 10:07:175中国 北京市
101.99.65.722018-05-26 09:47:3713马来西亚
61.188.189.72018-05-26 09:01:0382中国 四川省 南充市 电信
200.69.247.2212018-05-26 08:24:468阿根廷
115.146.127.2012018-05-26 06:34:386越南
104.236.102.1422018-05-26 05:55:0712北美地区
114.207.113.802018-05-26 04:47:4218韩国
60.250.168.2002018-05-26 04:28:3317中国 台湾省 台北市 电信
61.222.147.742018-05-26 03:49:3711中国 台湾省 台北市 电信
139.99.119.22018-05-26 03:40:4713美国
187.64.128.72018-05-26 01:11:204巴西
51.254.47.1982018-05-26 00:37:4425英国
164.132.202.662018-05-25 23:44:407意大利
153.122.119.162018-05-25 22:55:378日本
190.85.63.502018-05-25 21:06:134哥伦比亚
142.4.204.1222018-05-25 20:10:138加拿大
195.178.222.292018-05-25 20:06:205俄罗斯
5.135.161.942018-05-25 19:43:2225法国
80.254.122.2012018-05-25 19:34:237俄罗斯
123.212.48.262018-05-25 18:37:086韩国
122.225.36.1382018-05-25 18:17:2115中国 浙江省 嘉兴市 电信
110.10.129.2262018-05-25 16:50:2228韩国
188.187.55.2432018-05-25 16:47:384俄罗斯
123.176.42.2292018-05-25 16:35:2410印度
85.90.210.552018-05-25 15:56:163乌克兰
192.169.155.2302018-05-25 14:51:1812美国
211.23.154.142018-05-25 14:10:2616中国 台湾省 电信
109.245.221.1262018-05-25 13:57:5311塞尔维亚
181.50.122.2372018-05-25 13:13:5715哥伦比亚
118.24.75.1982018-05-25 13:10:1410中国
184.168.95.772018-05-25 12:58:564美国
187.216.113.992018-05-25 12:15:0617墨西哥
35.193.100.1862018-05-25 12:11:422美国
181.60.56.392018-05-25 10:43:075哥伦比亚
61.8.76.1942018-05-25 10:24:5323印度尼西亚
210.121.196.102018-05-25 08:51:0617韩国
119.235.21.1782018-05-25 07:41:4923印度尼西亚
124.202.158.1992018-05-25 06:29:2610中国 北京市 电信
85.199.232.42018-05-25 05:49:1210英国
36.66.164.1432018-05-25 05:23:1611印度尼西亚
43.242.84.522018-05-25 05:20:3810亚太地区
94.153.194.222018-05-25 04:41:3213乌克兰
60.251.223.1152018-05-25 02:18:1880中国 台湾省 台北市 电信
188.166.248.1032018-05-25 01:46:137俄罗斯
118.89.153.882018-05-25 01:33:285日本
115.230.127.912018-05-25 00:56:044中国 浙江省 绍兴市 电信
182.48.194.1022018-05-25 00:01:4518印度
45.229.108.582018-05-24 23:42:369美国
60.8.125.142018-05-24 23:08:072中国 河北省 张家口市 联通
103.207.39.1672018-05-24 22:42:386亚太地区
177.53.41.1992018-05-24 22:36:4813巴西
61.146.51.112018-05-24 21:25:4116中国 广东省 佛山市 电信
49.206.196.1142018-05-24 21:04:476印度
218.53.106.72018-05-24 20:24:5713韩国
178.48.182.292018-05-24 19:03:114匈牙利
46.105.20.1712018-05-24 18:33:5224法国
118.98.68.1022018-05-24 18:31:068印度尼西亚
128.199.213.2382018-05-24 18:13:245英国
128.199.95.2232018-05-24 17:46:3018英国
110.10.189.1082018-05-24 17:26:358韩国
5.99.213.532018-05-24 16:05:4612意大利
211.39.130.1542018-05-24 15:37:404韩国
140.143.196.522018-05-24 15:36:157中国
1.234.85.292018-05-24 13:40:366韩国
103.22.171.12018-05-24 13:06:485新加坡
61.220.209.2192018-05-24 12:17:159中国 台湾省 台北市 电信
218.38.121.172018-05-24 11:16:4422韩国
119.192.239.1922018-05-24 11:16:248韩国
203.198.158.1472018-05-24 10:47:118中国 香港
177.135.69.442018-05-24 10:15:137巴西
125.212.248.372018-05-24 10:01:5210越南
93.187.29.852018-05-24 09:55:135意大利
64.41.86.1292018-05-24 09:42:128美国
117.239.246.552018-05-24 08:50:484印度
128.199.86.1882018-05-24 08:35:416英国
201.155.194.1572018-05-24 08:31:3712墨西哥
61.74.63.442018-05-24 08:29:285韩国
101.205.120.582018-05-24 07:39:168中国 四川省 联通
45.55.236.1522018-05-24 07:29:198美国
159.65.12.2042018-05-24 07:27:393美国
189.2.140.2042018-05-24 07:08:534巴西
166.62.41.1962018-05-24 06:59:2711美国
87.201.9.2422018-05-24 05:35:439阿联酋
58.177.22.1552018-05-24 05:32:0813中国 香港
128.199.138.2122018-05-24 05:28:098英国
128.199.91.1712018-05-24 05:24:3012英国
114.67.38.12018-05-24 05:21:4112中国 北京市
124.6.139.2422018-05-24 04:43:378菲律宾 电信
210.59.147.532018-05-24 02:13:5715中国 台湾省 电信
103.99.0.2212018-05-24 01:42:3231亚太地区
196.216.8.1102018-05-24 01:36:229马拉维
117.232.96.2042018-05-24 00:53:1510印度
2.235.171.1112018-05-23 23:20:3018意大利
115.231.219.1692018-05-23 22:42:379中国 浙江省 杭州市 电信
122.2.223.2422018-05-23 22:37:5639菲律宾
200.6.184.1632018-05-23 21:47:1411哥伦比亚
202.129.170.22018-05-23 20:16:372马来西亚
95.243.35.1832018-05-23 19:21:575意大利
197.14.49.342018-05-23 18:57:047突尼斯
116.48.130.1622018-05-23 13:29:1811中国 香港
37.187.251.2262018-05-23 12:19:042法国
94.177.202.1052018-05-23 11:27:514罗马尼亚
193.252.111.2222018-05-23 10:05:304法国
180.250.16.422018-05-23 09:55:4727印度尼西亚
54.36.90.1262018-05-23 09:14:262美国
124.67.81.22018-05-23 08:19:5238中国 内蒙古 巴彦淖尔市 联通
201.6.240.1592018-05-23 08:07:206巴西
209.126.116.1352018-05-23 07:55:122美国
223.71.139.1882018-05-23 07:41:124中国 移动
218.61.30.2352018-05-23 00:37:1060中国 辽宁省 盘锦市 联通
118.36.193.2152018-05-22 21:43:4517韩国
139.99.122.1292018-05-22 20:19:2110美国
43.249.227.2382018-05-22 19:49:083亚太地区
37.205.177.1062018-05-22 18:54:115意大利
190.147.88.2472018-05-22 18:44:1610哥伦比亚
217.18.135.2372018-05-22 18:40:398俄罗斯
1.234.4.142018-05-22 18:21:0821韩国
222.179.88.1102018-05-22 18:11:068中国 重庆市 永川区 电信
139.199.24.372018-05-22 16:56:3110中国
167.99.76.1542018-05-22 13:24:199美国
103.7.83.602018-05-22 12:56:426印度
195.133.234.672018-05-22 12:44:294俄罗斯
183.230.146.262018-05-22 09:51:1039中国 移动
106.12.23.1522018-05-22 08:29:4012中国
212.124.21.2162018-05-22 08:21:063俄罗斯
123.59.135.582018-05-22 07:54:4213中国 广西 柳州市
115.159.105.142018-05-22 06:35:4513中国 河南省 郑州市
115.88.201.582018-05-22 06:05:236韩国
124.158.124.92018-05-22 03:10:0416蒙古
115.110.225.1302018-05-22 02:08:379印度
182.23.45.722018-05-22 01:22:468印度尼西亚
103.210.140.52018-05-22 01:20:585亚太地区
118.24.100.112018-05-22 00:28:593中国
45.125.117.1782018-05-21 22:11:304美国
181.57.163.2012018-05-21 20:55:497哥伦比亚
185.52.1.1252018-05-21 20:45:494欧洲
49.236.203.1292018-05-21 16:31:566马来西亚
117.21.191.1072018-05-21 16:15:03212中国 江西省 电信
111.230.140.1772018-05-21 13:52:264中国
41.231.112.62018-05-21 11:41:4232突尼斯
123.234.5.742018-05-21 08:26:496中国 山东省 青岛市 联通
115.71.1.432018-05-21 03:35:52281韩国
45.122.221.422018-05-21 03:19:439美国
193.112.19.1202018-05-21 00:48:395英国
已经有32个回复
Comment (32)
Trackbacks (0)
  1. 独行猫儿  ( 2015.05.18 17:14 ) :

    今天我以前公司的服务器也中招了,一片一片的218.87.111.107登陆root失败。

    回复
    • 章郎虫  ( 2015.05.27 19:48 ) :

      我直接用denyhost把这些尝试root登陆的ip禁止了。

      回复
  2. 度半  ( 2015.05.21 21:47 ) :

    没错,我这边也是这几个江苏的

    回复
    • 章郎虫  ( 2015.05.27 19:46 ) :

      恩,很多IP专门做这种事情。

      回复
  3. 晕死  ( 2015.05.27 09:42 ) :

    我这也是这些啊!江苏的江西的

    回复
    • 章郎虫  ( 2015.05.27 19:45 ) :

      是的,其实搞来搞去就是那些IP。

      回复
  4. 路人  ( 2015.06.1 13:44 ) :

    :x 今天也发现了43.229.52.161,我的vps才开了一个星期不到啊 就被盯上了

    回复
    • 章郎虫  ( 2015.06.2 09:15 ) :

      恩,很多服务器每天闲着没事干专门扫人家主机。

      回复
      • 路人  ( 2015.06.2 15:23 ) :

        @章郎虫: 今天又换了一个59.45.79.117,我昨天执行了你的脚本为什么今天还是没有防住

        回复
        • 章郎虫  ( 2015.06.2 17:17 ) :

          /etc/hosts.deny中有禁止登陆的ip吗?

          回复
          • 路人  ( 2015.06.2 23:26 ) :

            @章郎虫: 里面有禁止的ip不过只更新了四个,你上面表里的ip一个都不在里面,我最后手动加进去了,站长能不能给我一个ip表 我直接复制粘贴进去,createislife#gmail.com

            回复
            • 章郎虫  ( 2015.06.3 09:00 ) :

              恩,我这边列表是直接放在一个文件里,每天更新一次,页面上是实时数据,所以可能有些区别。我把现在数据库中有的ip记录发你邮箱了。

              回复
  5. 椰子汁饮料  ( 2015.06.4 14:19 ) :

    云锁拦截记录里面经常都可以看到这几个IP,太可恶了

    2015-06-04 02:39:33 登录防护
    检测到暴力破解登录,IP:60.12.11.51(浙江省杭州市 联通),已拦截。
    IP:123.127.240.21(北京市海淀区 联通),已拦截。
    IP:188.250.192.223(葡萄牙),已拦截。

    回复
  6. 漫步诗人  ( 2015.06.10 10:02 ) :

    43.229.52.xxx最多,怎么把这段IP封了?求解

    回复
    • 章郎虫  ( 2015.06.10 10:10 ) :

      可以用防暴力破解的denyhost工具,他可以自动禁止可疑的ip 。

      回复
  7. 匿名  ( 2015.06.25 13:40 ) :

    我的vps也是这些ip,原来搞来搞去救这些IP

    回复
  8. ckeyer  ( 2015.06.30 13:47 ) :

    也做了个列表,实时的
    http://www.ckeyer.com/d/blacklist.txt

    回复
  9. eva  ( 2015.07.9 10:21 ) :

    修改自 Andowson Chang 的文本,
    加入 crontab 使用,設定12小時檢查一次,
    每次大約封鎖 1-3 個IP。


    #!/bin/bash
    # Name: banip.sh
    # Version: 0.7
    # Since: 2007-01-21
    # Last Modified: 2015-05-14

    # 修改這邊的參數
    EXTERNAL_INTERFACE=”eth1″ # value can be “eth0″ or “ppp0″
    BANNED_HOSTS=”/tmp/bannedhosts.txt”
    BANNED_HOSTS_HISTORY=”/tmp/history.txt”
    IPTABLES=”/sbin/iptables”
    GREP_PARAM=”^[[:digit:]]*\.[[:digit:]]*\.[[:digit:]]*\.[[:digit:]]*”
    #export LANG=en_US
    TODAY=`date +%Y-%m-%d`
    RANGE=`date “+%b %e”`
    SECURE_LOG=”/tmp/secure.${TODAY}”
    SUSPECTED=”/tmp/failed.${TODAY}”

    # 將資料範圍縮小到今天
    grep “$RANGE” /var/log/secure > $SECURE_LOG
    grep “Failed password for invalid user” $SECURE_LOG | awk ‘{print $13}’ > $SUSPECTED
    grep “Failed password for root” $SECURE_LOG | awk ‘{print $11}’ >> $SUSPECTED

    # 找出攻擊的主機IP
    cat $SUSPECTED | sort | uniq > /tmp/attacker_ip1

    # 找出已被封鎖的主機IP
    #$IPTABLES -L OUTPUT -n | grep DROP | awk ‘{print $5}’ | sort | uniq > /tmp/attacker_ip2
    cat $BANNED_HOSTS_HISTORY | sort | uniq > /tmp/attacker_ip2

    # 比對差異,找出新增的IP
    comm -23 /tmp/attacker_ip[1-2] > $BANNED_HOSTS # 新增主機資料
    rm -rf /tmp/attacker*

    # 將攻擊的主機IP加到iptables擋掉 and hosts.deny擋掉
    for ip in $( grep $GREP_PARAM $BANNED_HOSTS )
    do
    echo “Check $ip”
    #計算失敗次數
    failcount=`grep $ip $SUSPECTED | wc -l`
    #超過3次失敗者加入阻擋名單
    if [ “$failcount” -gt “3” ]; then
    echo “Deny access from host: $ip”
    # $IPTABLES -A INPUT -i $EXTERNAL_INTERFACE -s $ip -j DROP
    # $IPTABLES -A OUTPUT -o $EXTERNAL_INTERFACE -d $ip -j DROP
    echo “all: $ip” >> /etc/hosts.deny
    # 將處理過的IP清單加到歷史檔去
    echo $ip >> $BANNED_HOSTS_HISTORY

    fi
    done

    rm -rf $BANNED_HOSTS
    rm -rf $SECURE_LOG
    rm -rf $SUSPECTED

    回复
  10. redleaf  ( 2015.08.12 11:54 ) :

    :grin: 我的主机也受到这些IP地址的攻击。谢谢提醒啦!

    回复
  11. 骑猪看月亮  ( 2015.08.14 13:13 ) :

    我的这边昨天也是被这个扫了71次的登录失败,哎~

    回复
    • 章郎虫  ( 2015.08.14 13:35 ) :

      比较可恶,直接禁止。这种爆破太没技术含量了。。。

      回复
  12. 421080277  ( 2015.08.19 22:14 ) :

    使用iptables 每小时限制22端口SYN包的数量,也就是发起SSH TCP会话的次数,就可以完美解决SSH密码暴力破解的问题。比如下面,第个小时一个IP可以建立20个会话,也就是可以尝试100个密码。
    #top ssh mima baohu
    -A INPUT -p tcp –dport 22 –tcp-flags ALL SYN -m state –state NEW -j LOG –log
    -prefix “iptables_22_SYN” –log-level info
    -A INPUT -p tcp –dport 22 –tcp-flags ALL SYN -m state –state NEW -m recent —
    name SSH-SYN –update –seconds 3600 –hitcount 20 –rttl -j LOG –log-prefix “i
    ptables_ssh_hackers” –log-level info
    -A INPUT -p tcp –dport 22 –tcp-flags ALL SYN -m state –state NEW -m recent –name SSH-SYN –update –seconds 3600 –hitcount 20 –rttl -j REJECT –reject-with tcp-reset
    -A INPUT -p tcp –dport 22 –tcp-flags ALL SYN -m state –state NEW -m recent –name SSH-SYN –set -j ACCEPT
    -A INPUT -p tcp –dport 22 –tcp-flags ALL ACK -m state –state ESTABLISHED -j ACCEPT
    -A INPUT -p tcp –dport 22 –tcp-flags ALL ACK,PSH -m state –state ESTABLISHED -j ACCEPT
    -A INPUT -p tcp –dport 22 –tcp-flags ALL ACK,FIN -m state –state ESTABLISHED -j ACCEPT
    -A INPUT -p tcp –dport 22 –tcp-flags ALL RST -m state –state ESTABLISHED -j ACCEPT
    -A INPUT -p tcp –dport 22 –tcp-flags ALL ACK,RST -m state –state ESTABLISHED -j ACCEPT
    -A INPUT -p tcp –dport 22 –tcp-flags ALL ACK,URG -m state –state ESTABLISHED -j ACCEPT
    #end ssh mima baohu

    回复
    • 章郎虫  ( 2015.08.20 09:05 ) :

      恩,这个思路不错。不过如果同一个公司同一个ip有很多人需要登陆这台服务器,这个配置可能会出现问题了。

      回复
      • 421080277  ( 2015.08.20 21:48 ) :

        @章郎虫: 可以在这个之前 加一条,公司的地址访问22端口不限制次数,

        回复
  13. qiuchengxuan  ( 2015.09.5 13:41 ) :

    多谢博主,我把自己的服务器的ssh端口在公网上开放后,没几天就有这些ip尝试破解密码了。还好ubuntu默认不开启root账户,不过即使这样看着这些ip也觉得心烦

    回复
  14. miuler  ( 2015.11.22 17:41 ) :

    这个ip最近也使劲扫我
    43.229.53.62

    回复
  15. bookcase  ( 2015.11.30 09:06 ) :

    看来非技术党不适合玩VPS ;-)

    回复
    • 章郎虫  ( 2015.11.30 09:45 ) :

      主要是linux需要熟悉些,命令都不会真心不好玩了。

      回复
  16. deny  ( 2016.01.5 20:34 ) :

    刚发现58.218.211.198这个IP也在连接我的SSH,搜了一下,搜到这里来了,干掉他,回他反黑回去,看看是个什么玩意。

    回复
  1. 还没有Trackbacks
icon_wink.gif icon_neutral.gif icon_mad.gif icon_twisted.gif icon_smile.gif icon_eek.gif icon_sad.gif icon_rolleyes.gif icon_razz.gif icon_redface.gif icon_surprised.gif icon_mrgreen.gif icon_lol.gif icon_idea.gif icon_biggrin.gif icon_evil.gif icon_cry.gif icon_cool.gif icon_arrow.gif icon_confused.gif icon_question.gif icon_exclaim.gif 

博客历程 留言本 文章归档 网站地图 谷歌地图 浙ICP备13025236号
托管于阿里云&七牛云 浙公网安备 33021202000610号
Copyright © 2010-2018 虫虫开源 All Rights Reserved.