Ataques sistemáticos em vários serviços e portas (passando pelo NAT) no servidor hobby

Navegue suas respostas
1
  • Nova instalação do Fedora 25 Server
  • Servidor atrás de um roteador com apenas algumas regras NAT
  • Muitas tentativas de login de SSH de centenas de IPs / portas diferentes (em constante mudança)
  • Recentemente, ataques / exploits no nginx (em execução em uma instância do docker) aparecem no log também.

Alguns exemplos do log: 

error: maximum authentication attempts exceeded for invalid user root from 88.14.203.97 port 56548 ssh2 [preauth]

error: Received disconnect from 52.221.236.126 port 62639:3: com.jcraft.jsch.JSchException: Auth fail [preauth]

[error] 6#6: *138 open() "/usr/share/nginx/html/nice ports,/Trinity.txt.bak" failed (2: No such file or directory), client: 77.77.211.78, server: localhost, request: "GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0"

Eu passei pelas medidas básicas de proteção na instalação, incluindo apenas o login SSH com um certificado (sem senhas, sem raiz).

Perguntas

  • Como os invasores podem alcançar portas diferentes na minha LAN, não configuradas no NAT? UPnP…?
  • É possível bloquear / parar esses ataques cegos?

Informações adicionais e possivelmente relevantes

Eu uso o serviço de DNS dinâmico freedns.afraid.org com um nome de domínio recém-registrado.

    
por Ruben Solvang 12.01.2017 / 11:38

2 respostas

3

How can the attackers reach different ports on my LAN, not configured in NAT? UPnP …?

Isso só é possível se o servidor estiver comprometido ou se conexões externas forem abertas por portas UPnP. Ao criar regras de encaminhamento, você pode especificar qual porta ou intervalo de portas será encaminhado para um determinado IP residido no lado da LAN. Você também pode alterar (substituir) portas externas para locais com valores diferentes (porta externa 3456 para frente para a porta local 22, por exemplo) ou definir encaminhamento de um para um (externo 22 para interno 22). Portanto, a resposta curta - apenas as portas que você abriu no firewall serão encaminhadas para um determinado IP na LAN.

Se você definir seu servidor na zona DMZ, isso significa que seu servidor está totalmente exposto à Internet com todas as portas; Desta forma, todas as portas estão disponíveis para conexões externas.

Verifique também esta lista de roteadores vulneráveis; se o próprio roteador foi hackeado, então não é mais sua rede.

Is it possible to block / stop these blind attacks?

Dê uma olhada na pergunta semelhante e seguiu a resposta de como proteger e reduzir essas tentativas de verificação.

    
por 20.01.2017 / 19:24
1

As portas que você está vendo nos logs são as portas de origem do invasor, não as do destino, portanto, isso não significa que o sistema tenha essas portas abertas nem o invasor está atingindo o sistema por meio delas.

Por exemplo, adivinhando que você abriu a porta 22 para o ssh, nos logs você pode ver que os ataques do serviço ssh estão chegando por outra porta (56548).

    
por 12.01.2017 / 11:48

Tags

Exportar todos os usuários de um servidor do Active Directory para CSV Resultado da condição de teste Bash