Czy ktoś próbuje włamać się na mój serwer? Co mogę zrobić?

12

Kilka tygodni temu opublikowałem tutaj pytanie dotyczące niektórych sshproblemów, które miałem z pudełkiem Ubuntu 12.04. Szybko do przodu do dzisiaj i próbuję zezwolić komuś innemu na dostęp do komputera, ale wciąż pojawiają się błędy hasła. Kasa var/logs/auth.logpo więcej informacji i znalazłem to:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

Mam prawie 10000 wierszy, które wydają się mówić mniej więcej to samo (są też 4 pliki auth.log.gz, które, jak zakładam, są mniej więcej takie same?). Czasami do żądania dołączona jest losowa nazwa użytkownika,input_userauth_request: invalid user bash [preauth]

Niewiele wiem o serwerach, ale wygląda na to, że ktoś próbuje uzyskać dostęp do mojego.

Poszukałem informacji o tym, jak zablokować adres IP w Ubuntu i skończyłem na tym: iptables -A INPUT -s 211.110.xxx.x -j DROPale po uruchomieniu tego polecenia i sprawdzeniu dzienników wciąż otrzymuję żądania z tego jednego adresu IP co 5 sekund.

Jak mogę dowiedzieć się więcej o tym, co się dzieje i poradzić sobie z tymi ciągłymi żądaniami?

server ssh iptables użytkownik2936314
źródło
Denyhosts jest świetny, ale pamiętaj, że to martwy projekt :( powinieneś zajrzeć do korzystania z iptables askubuntu.com/questions/433924/…
amc

Odpowiedzi:

14

Z tego, co opisujesz, wygląda to na automatyczny atak na twój serwer. Większość ataków jest, chyba że atakujący zna cię osobiście i ma pretensje ...

W każdym razie możesz zajrzeć do denyhosts, które możesz uzyskać ze zwykłych repozytoriów. Może analizować powtarzające się próby i blokuje ich adres IP. Nadal możesz mieć coś w swoich logach, ale to przynajmniej pomoże złagodzić wszelkie obawy dotyczące bezpieczeństwa.

Jeśli chodzi o uzyskiwanie dodatkowych informacji, naprawdę nie zawracałbym sobie głowy. O ile nie są amatorami, będą używać zdalnego serwera do wykonywania swojej brudnej roboty, która nie powie ci nic o tym, kim naprawdę jest. Najlepiej jest znaleźć administratora dla zakresu adresów IP (WHOIS jest tutaj twoim przyjacielem) i poinformować ich, że otrzymujesz wiele prób dostępu z tego adresu IP. Mogą być wystarczająco dobrzy, aby coś z tym zrobić.

Drac Noc
źródło
3
+1. Otworzyłeś port dla zewnętrznego Internetu: ludzie próbują uzyskać dostęp, ale nie mogą. To mniej więcej jak zwykle biznes. Jeśli masz dostęp do routera nadrzędnego, możesz ustawić, aby odrzucał połączenia z wersji 211.110.xxx.x, aby twoje własne pliki dziennika nie były tak zanieczyszczone.
Jos
Dodałem denyhosts i teraz dzienniki pokazują refused connect from...., ale jestem ciekawy, czy otrzymywanie tych bzdurnych żądań co 5 sekund może później wpłynąć na wydajność serwera? Skąd mam wiedzieć, czy mam dostęp do routera wysyłającego? Mam tylko dostęp do
konta
2
Przez router nadrzędny rozumiem router bramkowy we własnej sieci domowej lub firmowej, którą administrujesz. Jeśli nie wiesz, najprawdopodobniej nie masz do niego dostępu. Zrzucanie pakietów nie jest świnią wydajności.
Jos
2
Otrzymywanie żądania z jednego adresu IP co 5 sekund nie wpłynie znacząco na wydajność.
Drac Noc
3
Dla serwerów, które są narażone na działanie sieci (cóż, tak naprawdę dla wszystkich serwerów ssh) powinieneś ustawić PermitRootLogin noiw PasswordAuthentication no/ etc / ssh / sshd_config
unhammer
3

Nie chcesz widzieć tych nieudanych prób logowania w swoich logach, więc powinieneś filtrować ten adres IP w sieci.

Jeśli masz własny router lub zaporę sprzętową (inną niż na serwerze), użyj go do zablokowania tego adresu IP. Możesz także poprosić dostawcę Internetu o jego zablokowanie.

Jeśli serwerem jest VPS, poproś dostawcę VPS o zablokowanie tego adresu IP. W większości przypadków nie odrzucą twojej prośby o pomoc, ponieważ nic nie kosztuje.

Ataki z jednego adresu IP można łatwo złagodzić w porównaniu z atakami pochodzącymi z wielu różnych adresów IP. Aby chronić się przed atakiem rozproszonym, potrzebujesz specjalnej usługi od operatora sieci, którą musisz zapłacić. Na poziomie serwera możesz walczyć z Denyhosts lub Fail2ban. Fail2ban chroni nie tylko ssh, ale i inne usługi. Zużywa trochę więcej pamięci. Fail2ban używa iptables do blokowania adresów IP, a DenyHost używa pliku hosts.deny, oba używają dzienników do znalezienia złośliwych prób. Możesz także skonfigurować iptables do ograniczania prędkości prób ssh, które nie zależą od logów.

Vladiz
źródło
Czy istnieje sposób, aby zatrzymać rejestrowanie z tego adresu IP z poziomu mojego komputera?
user2936314
Filtrowanie dzienników nie jest dobrym pomysłem. Nigdy nie wiadomo, mogą mieć szczęście i będziesz potrzebować pełnej spisanej historii tego, co się wydarzyło.
Drac Noc
@ user2936314 Naprawdę niezbyt dobry pomysł, lepiej zmień port ssh. Zmiana portu nie jest idealnym rozwiązaniem, ale pozbędziesz się wielu botów. Niektóre z nich są bardziej inteligentne i skanują w poszukiwaniu otwartych portów. Miałem ten sam problem i fail2ban blokował 20 adresów IP dziennie. Po zmianie portu ssh obserwuję znaczny spadek liczby złośliwych prób ssh
vladiz
Wszyscy jesteście niesamowici. Zalecana lektura wprowadzenia do administratora serwera Ubuntu? Czytam interfejs programistyczny Linuksa, ale nie wygląda na to, żeby tego rodzaju rzeczy były dużo
omawiane
1
@ user2936314 Sprawdź oficjalną dokumentację , przewodnik po serwerze dla Ubuntu 12.04 lub dowolną wersję, której potrzebujesz.
vladiz
0

Wszystkie dobre odpowiedzi powyżej jednak ...

Napisałeś „Próbuję zezwolić komuś innemu na dostęp do komputera, ale wciąż pojawiają się błędy hasła”

Ponieważ większość z nas korzysta z dynamicznego adresu IP z ograniczonym czasem dzierżawy DNS dostawcy, większość z nas korzysta z dynamicznej usługi DNS, aby uzyskać dostęp do naszego serwera podczas podróży. Czy to możliwe, że Twój zdalny użytkownik również korzysta z takiej usługi, aby się z Tobą skontaktować, i że widzisz adres IOP?

BTW - wielu hakerów polegających na podsłuchiwaniu portów polega na tym, że robisz to, co robi wielu użytkowników serwerów domowych, a mianowicie nie zmienia domyślnego identyfikatora logowania do stanu dostawy. (często „admin” !!) i po prostu odpal wszystkie możliwe kombinacje hasła

David Walker
źródło
Myślałem o tej sprawie, kiedy po raz pierwszy zauważyłem dzienniki. Sprawdziłem osobę, którą znam, próbującą uzyskać dostęp do komputera, a jego adres IP nie zgadzał się z tym w dziennikach. Wiem, że on również nie próbował wchodzić co 5 sekund przez kilka dni. Dobra uwaga na temat dynamicznych denyhostsIP , ale trochę się martwię , że skończę się blokować, jeśli / kiedy zmieni się moje IP. Wygląda na to, że mój weekend zostanie spędzony na przeglądaniu tego [ askubuntu.com/questions/2271/how-to-harden-an-ssh-server] i dokumentacji
user2936314
0

Myślę, że przekonasz się, że 99% prób włamań pochodzi z Chin. Oto co znalazłem. Nie ma sensu zgłaszać chińskiego adresu IP za włamanie, ponieważ prawdopodobnie jest to sankcjonowane przez państwo. Nie blokuję tylko adresu IP, blokuję zakres, w jakim znajduje się adres IP. Użyj opcji „podsieć” na routerze lub z tabelami IP na twoim Linux-ie, użyj podsieci lub „/ bitów” (np .: / 24). Na tej stronie znajdziesz listę bloków adresów IP według kraju (ze wszystkimi znajduje się plik tar.gz): http://www.ipdeny.com/ipblocks/data/countries . Strona internetowa WHOIS https://whois-search.com/ daje dobry początek, w jakim kraju szukać.

Wazza65
źródło
-1

1. miejsce Chyba że nie musisz nigdy otwierać standardowych portów serwera na sieć. Skonfiguruj router, aby otworzył losowy port, taki jak 53846, i przekieruj go do portu 22 komputerów.

Hakerzy okazjonalni mogą skanować szeroki zakres adresów IP w poszukiwaniu znanych portów, takich jak 22, i próbować je wykorzystać.

2. uderzył go z powrotem. Nmap go i dowiedz się, co on biegnie. Następnie spróbuj uzyskać dostęp do jego. Tak jak ogień powrotny. Jeśli wie, że jesteś przy nim, hem może się zatrzymać.

Możesz go również pingować jak szalony jak ostrzeżenie.

3 miejsce Jeśli chcesz się zabawić, możesz otworzyć konto gościa. Upewnij się, że nie ma żadnych zobowiązań. Ogranicz go do katalogu domowego gości. Jeśli chcesz się uroczo, możesz skonfigurować fałszywą strukturę katalogów głównych na potrzeby biegania. Ustaw hasło jako wspólne lub bez hasła. Zaloguj się.

Następnie możesz użyć polecenia zapisu i zapytać go, dlaczego nalega na wbicie twojego serwera.

Don
źródło
(1) jedynie zasłania trasy dostępu, ale ich nie zabezpiecza. (2) jest nielegalny w większości jurysdykcji. (3) jest ryzykowny, ponieważ zdarza się błędna konfiguracja i mogą istnieć luki w zabezpieczeniach związane z eskalacją uprzywilejowania, i prawdopodobnie nie mają sensu, ponieważ większość ataków jest zautomatyzowana, aby uruchamiać się na zakresach adresów IP, jak sam zaznaczasz.
David Foerster,