Meu servidor estava sendo forçado a usar o SSH?

Navegue suas respostas
2

Notei que a velocidade da minha internet diminuiu para um rastreamento. Eu reiniciei o meu servidor Ubuntu e a velocidade aumentou imediatamente. Então, verifiquei as conexões de rede ativas com netstat -tupn e encontrei uma conexão suspeita de um usuário desconhecido:

EurastreeioendereçoIP,eelevinhadeumaempresadetelecomunicaçõesdaChina,alarmedefila.

Então,meupróximoportodeescalafoiverificarastentativasdelogindosshnomeuservidor,epercebiqueestavarecebendocargas-cargas-detentativasdesenhacomfalha:

(Clique na imagem para ampliar)

O próximo passo é que eu acabei de desativar o encaminhamento de porta para SSH no meu roteador - algo que tenho certeza que é bastante seguro de qualquer maneira. As tentativas de conexão pararam imediatamente.

Estou certo em pensar que alguém estava forçando meu servidor? Como posso evitar que algo assim aconteça novamente? Gostaria de reativar o reencaminhamento de portas para o ssh novamente em algum momento, mas não se isso significar que vou ser bombardeado novamente por tentativas de login.

Ainda tenho o encaminhamento de porta smb para meu servidor ativado. Isso é seguro?

Sou novo nessas coisas. Eu só configurei este servidor (meu primeiro) no início deste ano para colaborar em um projeto, então qualquer orientação dos gurus do servidor aqui seria muito apreciada. :)

    
por ryansin 20.04.2016 / 20:33

4 respostas

8

Por quê? Porque você tem um sistema na internet.

Alguns passos simples que você pode tomar para combater isso:

  1. Desative a autenticação por senha e use a chave auth.
  2. Implemente regras de firewall para aceitar apenas conexões SSH de endereços IP dos quais você se conectará.
  3. Instale algo como o fail2ban, que pode assistir seus logs SSH para tentativas de força bruta e desativar automaticamente os endereços IP ofensivos.

I still have smb port forwarding to my server enabled. Is this safe?

Não. Muito não.

O SMB não deve estar acessível pela internet. Ponto final. Se você precisar acessar os compartilhamentos SMB remotamente, faça isso por meio de um túnel VPN.

    
por 20.04.2016 / 20:39
1

Concordo com @ richard-boonen. Eu tive uma configuração de encaminhamento de porta ssh por um ano e não tive sinais de alguém tentando forçar o sistema (já que a porta padrão 22 não está habilitada). É claro que alguém poderia encontrar essa porta e atacar, mas a probabilidade de um ataque em uma porta não padrão é certamente menor que a porta padrão.

Abaixo estão os passos para mudar o arquivo de configuração

Edite o arquivo de configuração:

1) Abra um terminal (use nano ou qualquer outro editor de texto que você escolher) 

sudo nano /etc/ssh/sshd_config

Procure o seguinte - 

# What ports, IPs and protocols we listen for
Port 22 # ==> change 22 to another port (make sure that it does not conflict with applications that use specific ports)
    
por 08.10.2016 / 05:12
1

É bem possível que um ataque de força bruta esteja em andamento, embora, em caso afirmativo, não tenha sido muito efetivo. É bem possível que alguém tenha cometido um erro em um script em algum lugar para acertar o endereço IP incorreto. (Eu digo isso porque os pedidos são todos provenientes de um único endereço IP, e eles não estão vindo tão rápido).

Como outros disseram, ter o SMB exposto diretamente à Internet está implorando para ser hackeado - use uma VPN ou firewall para um IP estático específico, conhecido, com o qual você precisa se comunicar. (Mesmo o firewall não é uma ótima idéia, porque as pessoas ainda podem farejar os dados durante o vôo)

    
por 08.10.2016 / 09:28
0

a resposta do @EEAA obviamente cobre tudo que é importante, eu gostaria de acrescentar que além disso você também pode mover sua porta ssh para uma porta não padrão, o que reduz ainda mais a quantidade de ataques pelo menos. / p>     

por 25.04.2016 / 19:44

Tags

Não é possível alterar as permissões de arquivo no Ubuntu Bash para Windows 10 Como posso forçar o formato somente leitura do drive usb no OSX El Capitan?