Conexão SSH não solicitada

Navegue suas respostas
3

Eu tenho um servidor Ubuntu 8.04 em execução e na Internet por alguns dias .... Eu tenho Portas 21 e 22 abertas para FTP e SSH ... Todas as outras portas estão fechadas.

eu corri 

netstat

E achei isso 

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State 

tcp6       0     68 10.7.1.71%134645824:ssh 125.211.221.145%8:47777 ESTABLISHED

Parece que o 125.211.221.145 estabeleceu uma conexão SSH com o servidor ... e está enviando pacotes para fora ... É possível que alguém estabeleça uma conexão SSH sem autenticar?

Eu fiz pesquisas de DNS reversas no endereço ... e parece oringnate da China de acordo com esse recurso ... 

http://www.ipaddresser.com/

Eu assumo que a maioria dos servidores estão se afastando de coisas como essa o tempo todo, mas é incomum ter alguém sentado em uma porta como essa? E existe uma maneira de bloquear determinados IPs no nível do servidor?

O servidor está atrás de um firewall substancial da Cisco.

    
por CaseyIT 05.03.2010 / 19:32

5 respostas

8

Todos os "ESTABLISHED" significam que a sessão tcp está aberta. Não não significa que eles foram autenticados com sucesso. O Nmap, por exemplo, criará uma sessão TCP completa e legal ao varrer a porta 22. (Está verificando se o daemon é sshd , verificando sequências de versão, etc.) Essa pessoa pode estar executando um scanner de porta simples ou tentando -force suas senhas.

Para descobrir o que realmente está acontecendo, você precisará gastar um tempo de qualidade com seus registros. Gaste a maior parte do tempo procurando logins bem-sucedidos e com falha. Além disso, apenas a execução de " who " permitirá que você saiba se alguém está realmente conectado por meio dessa conexão.

A saída de last também pode ser útil.

    
por 05.03.2010 / 19:43
3

Insyte me bateu nisso.

Para descartar todas as conexões desse IP:

iptables -A INPUT -s 125.211.221.145 -j DROP

    
por 05.03.2010 / 19:48
3
  • Não execute o ssh na porta 22.
  • Não permita conexões para qualquer porta que você executar ssh de toda a Internet. ** Se você precisar se conectar a partir de locais aleatórios, instale o knockd.
  • Não execute ftp.
por 05.03.2010 / 23:54
1

Você pode usar um pacote como o BlockHosts para interromper todas as conexões não solicitadas desse tipo. Aqui está um bom tutorial - é para o Debian Etch, mas quase tudo se aplica ao Ubuntu também.

    
por 05.03.2010 / 20:50
1

Eu corro um programa chamado fail2ban, que lê os logs dos daemons comuns, como ssh e ftp. Ele usa expressões regulares para monitorar tentativas de login com falha nesses logs, e atualiza as regras de firewall para bloquear os ip's de intrusos. Você pode personalizar o comportamento do fail2ban de maneiras como quantas tentativas com falha antes de um ip ser bloqueado e por quanto tempo ele permanece bloqueado. Funciona muito bem e estou bastante satisfeito com isso. Confira aqui .

Embora eu não esteja familiarizado com os BlackHosts da gareth_bowles, suspeito que seja semelhante ao fail2ban.

    
por 05.03.2010 / 22:51

Tags

Deve ter aplicativos para um servidor Windows [fechado] Vale a pena aprender Awk?