Linux VM em tentativas de invasão do Azure

2

Eu tenho uma situação muito estranha. Acabei de criar uma nova VM, ela está funcionando há apenas 30 minutos e estou vendo uma atividade estranha no auth.log :

Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11:  [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root

Eu fiz apenas uma atualização / atualização para a VM e adicionei um novo usuário adm . Como posso ser atacado tão rápido?

    
por Chico3001 10.08.2016 / 18:58

4 respostas

3

Isso é algo comum. 'Hackers' estará usando uma lista de IPs azuis e tentará usar o SSH de força bruta para obter acesso ao seu servidor. Como o log acima mostra, apenas falhas foram feitas. Provavelmente, seu IP não foi atribuído a outra VM do Azure.

Quase todos os casos que configuramos on-line têm esse problema. Há duas ações que recomendo que você faça.

  1. Altere sua porta SSH para outra coisa , isso reduz muito suas chances de ataque.

  2. Instale fail2ban . Isso permitirá que você bangue os ip's por um determinado período de tempo, ou permanentemente, quando um número x de autenticações for feito.

Usar também o SSH somente de chave melhora ainda mais a segurança.

    
por 10.08.2016 / 19:20
0

Você ainda não foi hackeado, mas alguém está tentando entrar.

você deve implementar Fail2Ban para bloquear temporariamente os IPs após um determinado número de tentativas de login com falha.

Não há nada na sua situação que faça com que "um novo usuário VM ou adm" seja significativo. O ataque é contra a conta root e a VM está em um endereço IP que existia antes de ser atribuído à VM. Alguém realizou uma varredura na porta, notou que a porta estava ativa e tentou um ataque distribuído de força bruta. É provável que o ex-responsável pelo endereço IP tenha também serviços SSH, portanto, você pode estar enfrentando um ataque que já estava em andamento contra um responsável anterior. Não há como dizer.

    
por 10.08.2016 / 19:21
0

Esta é uma situação bastante comum e, infelizmente, estará acontecendo constantemente. Essas tentativas são apenas bots sondando classes inteiras de IPs aleatoriamente e as suas surgiram apenas 30 minutos depois que você implementou sua VM. Eu sugiro instalar o fail2ban se isso te incomodar.

    
por 10.08.2016 / 19:25
0

Quando você loga legitimamente em seu host remoto, você deve estar usando chaves ssh para evitar o uso de uma senha ... uma vez que isso é verdade, então desabilite a permissão de senhas naquele host remoto ... em sua edição do host remoto

vi /etc/ssh/sshd_config

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no

em seguida, enquanto estiver no host remoto, retorne seu daemon ssh emitindo:

sudo service sshd restart

(e não, não vai matar sua sessão de login ssh a menos que você esteja logado usando uma senha)

Essa alteração impedirá todas as tentativas de login que usam uma senha e, portanto, essas mensagens serão interrompidas

Failed password for root from 182.100.67.173 port 41144 ssh2
    
por 04.09.2016 / 20:12