Olá, eu acabei de alugar um servidor no hetzner.de, e decidi seguir as modificações no linode para proteger meu servidor!
Acabei de concluir a configuração do OSSEC e, logo de cara, recebo spam de e-mails:
OSSEC HIDS Notification.
2016 Apr 04 17:33:10
Received From: Debian-83-jessie-64-LAMP->/var/log/auth.log
Rule: 5720 fired (level 10) -> "Multiple SSHD authentication failures."
Portion of the log(s):
Apr 4 17:33:08 Debian-83-jessie-64-LAMP sshd[16267]: Failed password for root from 81.246.42.242 port 48275 ssh2
Apr 4 17:33:07 Debian-83-jessie-64-LAMP sshd[16267]: Failed password for root from 81.246.42.242 port 48275 ssh2
Apr 4 17:32:27 Debian-83-jessie-64-LAMP sshd[16261]: Failed password for root from 81.246.42.242 port 50924 ssh2
Apr 4 17:32:25 Debian-83-jessie-64-LAMP sshd[16261]: Failed password for root from 81.246.42.242 port 50924 ssh2
Apr 4 17:32:23 Debian-83-jessie-64-LAMP sshd[16261]: Failed password for root from 81.246.42.242 port 50924 ssh2
Apr 4 17:31:42 Debian-83-jessie-64-LAMP sshd[16226]: Failed password for root from 81.246.42.242 port 43742 ssh2
Apr 4 17:31:40 Debian-83-jessie-64-LAMP sshd[16226]: Failed password for root from 81.246.42.242 port 43742 ssh2
Apr 4 17:31:38 Debian-83-jessie-64-LAMP sshd[16226]: Failed password for root from 81.246.42.242 port 43742 ssh2
--END OF NOTIFICATION
OSSEC HIDS Notification.
2016 Apr 04 17:44:09
Received From: Debian-83-jessie-64-LAMP->/var/log/auth.log
Rule: 2502 fired (level 10) -> "User missed the password more than one time"
Portion of the log(s):
Apr 4 17:44:08 Debian-83-jessie-64-LAMP sshd[17133]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=242.42-246-81.adsl-static.isp.belgacom.be user=root
--END OF NOTIFICATION
Eu sou novo para servidores, então não tenho certeza do que fazer isso? é um bot aleatório no belgacom.be que tenta quebrar minha senha, eu deveria apenas colocar um blacklist no ip?
Colocar o IP na lista negra não resolverá seu problema, momentos depois você será atacado da mesma maneira por outro IP.
81.246.42.242 vem da Bélgica (verificado com ip2location). Um método para resolver isso é bloquear todos os IPs e permitir apenas o acesso ao seu IP ou sub-rede. No entanto, em vez disso, recomendo usar chaves SSH e desabilitar logins ssh de raiz.
Para mais informações; Configuração do firewall configuração da chave ssh
Esses tipos de eventos / logs para o ssh são onipresentes. Algumas pessoas dizem "mudar a porta", mas como você pode ver, eles verificam todas as suas portas, como você pode ver nos logs, então, IMHO, segurança através da obscuridade (mudando a porta 22 para ssh) adiciona pouco à segurança e pode ou pode não acalme os logs.
Você precisa proteger seu servidor ssh. Pessoalmente eu uso chaves e desabilito senhas, logins root sem senha, e algumas regras no iptables.
Eu sugiro que você olhe para
Como endurecer um servidor SSH?
link
A primeira regra da segurança de TI é que você fará com que as pessoas tentem atacar qualquer coisa que esteja enfrentando na Web.
A porta 22 é um alvo comum para scanners de portas e ataques similares de violação de serviço. Para o SSH, a execução em uma porta diferente ajuda um pouco a atenuar isso; configurar seu firewall para filtrar sua porta SSH, de modo que somente os IPs que você confia possam acessar o SSH é um sistema mais eficiente.
Isso é comumente visto com qualquer coisa que a Internet enfrente. Você provavelmente é apenas um dos muitos que estão obtendo muitas tentativas de login raiz. Hora de bloqueá-lo, alterando as portas e, em seguida, restringindo as conexões que você permite a sua porta SSH no firewall.