ataque SSH por IP bloqueado

Question

ataque SSH por IP bloqueado

#1 resposta do (4 votos)

1

Eu corro um servidor CentOS 5.7 de 64 bits que tem um problema estranho.

Enquanto assistia aos meus registros em /var/log/secure , notei que um IP estranho estava tentando se conectar ao ssh com vários nomes de usuários estranhos.

Saída do log: link

Eu executo o fail2ban que já havia bloqueado esse IP, e eu também bloqueei esse IP novamente manualmente via iptables.

Rodando iptables -n -L , recebi esta saída:

Chain fail2ban-SSH (1 references)
target     prot opt source               destination
DROP       all  --  50.115.166.129       0.0.0.0/0
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Então o bloco está no lugar. O Iptables também está rodando, e eu já bloqueei muitos IPs através do iptables, e todos esses blocos estão funcionando bem.

Mas de alguma forma esse IP é capaz de acessar minha máquina. Alguma ideia de como isso é possível?

ssh security iptables centos

por Mr.Boon 15.02.2012 / 10:56

1 resposta

Tags ssh security iptables centos

Monitorar o estado do “Tipo de Inicialização” dos serviços Controlando o tráfego em uma pequena sub-rede

score 4 · Accepted Answer

O problema é que sua fail2ban-SSH chain está sendo aplicada ao tráfego para a porta 22, que não é onde o sshd está escutando. Então o fail2ban pega as falhas dos logs de autenticação e atualiza corretamente a cadeia de recusa. Mas o tráfego ssh nunca é enviado para essa cadeia, então o seu causador, que agora está impedido de falar com a porta 22, ainda é capaz de falar com o sshd em 2222.

Supondo que você esteja usando o padrão do CentOS /etc/sysconfig/iptables , é necessário alterar a linha na seção filter que atualmente diz algo como

-A INPUT -p tcp --dport 22 -j fail2ban-SSH

para dizer

-A INPUT -p tcp --dport 2222 -j fail2ban-SSH

Quanto à sua queda manual, você adicionou após as linhas que dizem

 689M  126G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED

e

 0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:2222 state NEW

para que simplesmente nunca seja invocado para limitar o novo tráfego à porta 2222, ou pacotes subseqüentes em qualquer conexão, já que eles já foram permitidos. A ordem das regras é vital no iptables, porque a primeira correspondência de dispositivos ganha.