Alguém está tentando invadir meu servidor? O que eu posso fazer?

Navegue suas respostas
11

Algumas semanas atrás eu postei uma pergunta aqui sobre alguns problemas de ssh que eu estava tendo com uma caixa do Ubuntu 12.04. Avanço rápido para hoje e estou tentando permitir que alguém acesse a máquina, mas eles continuam recebendo erros de senha. Eu finalizo o checkout var/logs/auth.log para mais informações e encontrei o seguinte: 

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

Eu tenho quase 10000 linhas que parecem dizer mais ou menos a mesma coisa (há também 4 arquivos auth.log.gz, que eu estou assumindo que são mais do mesmo?). Às vezes, há um nome de usuário aleatório anexado à solicitação, input_userauth_request: invalid user bash [preauth]

Eu não sei muito sobre servidores, mas parece que alguém está tentando obter acesso ao meu.

Pesquisei como bloquear um endereço IP no Ubuntu e acabei com isso: iptables -A INPUT -s 211.110.xxx.x -j DROP , mas depois de executar esse comando e verificar os logs, ainda estou recebendo solicitações desse IP a cada 5 segundos.

Como posso saber mais sobre o que está acontecendo e lidar com essas solicitações constantes?

    
por user2936314 11.05.2014 / 13:10

4 respostas

12

A partir do que você descreve, parece um ataque automatizado ao seu servidor. A maioria dos ataques é, a menos que o invasor te conheça pessoalmente e esteja guardando rancor ...

De qualquer forma, você pode querer olhar para denyhosts, que você pode obter a partir dos repos habituais. Pode analisar tentativas repetidas e bloquear o seu endereço IP. Você ainda pode receber algo em seus registros, mas pelo menos ajudará a mitigar quaisquer preocupações de segurança.

Quanto a obter mais informações, eu realmente não me incomodaria. A menos que seja um amador, eles estarão usando um servidor remoto para fazer seu trabalho sujo, que não lhe dirá nada sobre quem eles realmente são. Sua melhor aposta é encontrar o administrador para o intervalo de IP (WHOIS é seu amigo aqui) e informá-los de que você está obtendo muitas tentativas de acesso desse IP. Eles podem ser bons o suficiente para fazer algo sobre isso.

    
por Drac Noc 11.05.2014 / 13:24
3

Você não deseja ver essas tentativas de login com falha nos seus registros, portanto, você deve filtrar esse IP na rede.

Se você tiver um firewall próprio ou de hardware (não o do servidor), use-o para bloquear esse IP. Você também pode pedir ao seu provedor de internet para bloqueá-lo.

Se o servidor for VPS, peça ao seu provedor de VPS para bloquear esse IP. Na maioria dos casos, eles não rejeitarão seu pedido de ajuda, porque não lhes custa nada.

Ataques de IP único podem ser facilmente mitigados em comparação com ataques provenientes de muitos IPs diferentes. Para proteger-se contra ataques distribuídos, você precisa de um serviço especial do provedor de rede que deve pagar. No nível do servidor, você pode lutar com Denyhosts ou Fail2ban. O Fail2ban protege não apenas o ssh, mas outros serviços. Ele usa um pouco mais de memória. Fail2ban usar iptables para bloquear IPs e DenyHosts usar o arquivo hosts.deny, ambos usam logs para encontrar tentativas maliciosas. Você também pode configurar o iptables para tentativas ssh limitadoras de taxa que não dependem de logs.

    
por vladiz 11.05.2014 / 15:43
0

Todas as boas respostas acima, no entanto ...

Você escreveu "Estou tentando permitir que outra pessoa acesse a máquina, mas ela continua recebendo erros de senha"

Como a maioria de nós está em um IP dinâmico com um tempo de concessão de DNS de provedor limitado, a maioria de nós usa um serviço de DNS dinâmico para acessar nosso servidor quando está em trânsito. Será que o seu usuário remoto também está usando esse serviço para chegar até você e esse é o endereço de IOP que você está vendo?

BTW - muitos hackers de "toque de porta" confiam em você fazendo o que muitos usuários de servidores domésticos fazem, ou seja, eles não alteram o ID de login do estado de entrega padrão. (muitas vezes "admin" !!) e apenas disparar através de todas as combinações possíveis da senha

    
por David Walker 13.05.2014 / 20:15
-1

1º. A menos que você precise nunca abrir portas padrão para seu servidor na rede. Configure o roteador para abrir uma porta aleatória como 53846 e encaminhe-a para a porta 22 dessas máquinas.

Os hackers de oportunidade podem escanear uma ampla gama de endereços IP para portas conhecidas como 22 e tentar explorar.

2º acertá-lo de volta. Nmap ele e descubra o que ele está correndo. Então tente ganhar acesso ao dele. Apenas como fogo de retorno. Se ele souber que você está com ele, ele pode parar.

Você também pode pingar ele como um louco como um tiro de aviso.

3 o. Se você quiser se divertir, você pode abrir a conta do convidado. Certifique-se de que não haja nenhum tipo de privliges. Confine-o ao diretório inicial dos convidados. Se você quiser ficar fofo, pode configurar uma estrutura de diretórios raiz falsa para uma corrida. Defina a senha como uma senha comum ou sem senha. Conecte-se a ele.

Depois, você pode usar o comando write e perguntar por que ele insiste em martelar o seu servidor.

    
por Don 20.11.2014 / 22:42

Tags

Onde as tentativas não autorizadas de sudo são relatadas? Como adiciono ou manipulo Indicadores do Aplicativo / Sistema na tela de login?