Os logs mostram muitas tentativas de usuário de IP desconhecido [duplicado]

2

Eu perdi o acesso à minha instância que hospedo na AWS. Keypairing parou para trabalhar. Eu separei um volume e o anexei a uma nova instância, e o que eu encontrei nos logs foi uma longa lista de

Nov  6 20:15:32 domU-12-31-39-01-7E-8A sshd[4925]: Invalid user cyrus from 210.193.52.113
Nov  6 20:15:32 domU-12-31-39-01-7E-8A sshd[4925]: input_userauth_request: invalid user cyrus [preauth]
Nov  6 20:15:33 domU-12-31-39-01-7E-8A sshd[4925]: Received disconnect from 210.193.52.113: 11: Bye Bye [preauth]

Onde "cyrus" é alterado por centenas, se não milhares, de nomes e itens comuns. O que poderia ser isso? Ataque de força bruta ou algo mais malicioso? Eu tracei IP para Cingapura, e não tenho conexão com Cingapura.

Acho que isso foi um ataque DoS desde que eu perdi o acesso e o servidor pareceu parar de funcionar. Eu não sou versado nisso, mas idéias e soluções para esta questão são bem-vindas.

    
por rodling 08.11.2013 / 22:07

1 resposta

1

como você está na AWS, a maneira fácil de impedir que a internet acesse o sshd em sua caixa é negar tcp / 22 em sua instância secgroup e adicionar ao secgroup os poucos / 32 que realmente precisam se conectar.

ec2-revoke [secgroup] -P tcp -p 22 -s 0.0.0.0/0
ec2-authorize [secgroup] -P tcp -p 22 -s [your-ip-addr]/32

(você também pode fazer isso com aws gui, mas é uma dor)

como uma segunda camada de segurança, você pode fazer o mesmo com o iptables no host, conforme mencionado no encadeamento.

fazendo um ou ambos, o tcp / 22 não estará aberto à internet, e seus logs não inundarão.

    
por 08.11.2013 / 22:36