Ataque do Ubuntu Server? Como resolver?

1

Algo (Alguém) está enviando pacotes UDP enviados de toda a nossa faixa de ip. Isto parece ser um DNS multicast.

Nosso host de servidor forneceu isso (nosso endereço IP está mascarado com XX):

Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53

Eu verifiquei meu arquivo /var/log/auth.log e descobri que alguém da China (usando o ip-locator) estava tentando entrar no servidor usando o ssh.

...
Jun  3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2
Jun  3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25  user=root
Jun  3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2
Jun  3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25  user=root
...

Eu bloqueei esse endereço IP usando este comando: sudo iptables -A INPUT -s 202.100.108.25 -j DROP

No entanto, não tenho ideia sobre o multicast UDP, o que está fazendo isso? quem está fazendo isso? e como posso pará-lo?

Alguém sabe?

    
por saky 03.06.2010 / 17:14

3 respostas

4

Francamente, por que se incomodar? A maioria dos servidores recebe centenas de varreduras e tentativas de login por dia. É simplesmente impossível bloquear manualmente todos eles.

Seu firewall parece estar fazendo seu trabalho. Afinal, está bloqueando o tráfego indesejado.

Certifique-se de não executar nenhum serviço desnecessário. Quanto menos houver disponível, menos haverá para invadir.

Para proteger o SSH: Certifique-se de configurar o SSH para negar o login pelo root. Verifique se as senhas de todas as contas do SSH são strongs. O Denyhosts bloqueia automaticamente os IPs depois de algumas tentativas de login (muito útil), mas certifique-se de que você está na lista de permissões do seu próprio IP ou arriscar ser trancado você mesmo. Também é muito eficaz rodar o SSH em uma porta diferente, já que a maioria dos ataques só experimenta a porta 22.

Eu só tomaria medidas quando estivesse afetando seus serviços ou largura de banda. Verifique whois para o proprietário do netblock do qual o tráfego está chegando e forneça uma reclamação clara e amigável ao endereço de abuso do proprietário. Se eles não responderem em um tempo razoável, vá ao seu provedor, etc.

    
por 03.06.2010 / 17:30
0

Não há muito o que fazer para impedir que um terceiro falsifique seu endereço IP - é como um spam com seu endereço De. Tudo o que pode ser feito já pode ser feito com o seu firewall na frente da sua máquina.

Você pode bloquear mais facilmente as tentativas de login do ssh. Denyhosts (que eu uso em todos os meus servidores), ou o similar fail2ban (não apenas SSH) scanfile (s) o arquivo de registro (s) e depois de" muitos "tentativas de login, irá bloquear o endereço IP (eu costumo fazer como DenyHosts faz, e adicionar endereços IP ao /etc/hosts.deny)

    
por 03.06.2010 / 17:24
0

O UDP é fácil de falsificar o endereço de origem, os pacotes podem estar vindo de qualquer lugar. Alguém pode estar forjando um pacote para o seu endereço de broadcast. Porta de filtro 5353 entrada e saída, o DNS multicast deve ser local. Filtre o endereço de transmissão no seu firewall. Filtre o tráfego de saída para o endereço de destino para garantir que você não seja o único a enviar o tráfego.

Isso parece suspeitamente com os ataques de amplificação que foram executados no DNS no ano passado. Aqueles foram feitos forjando o endereço de origem. Se este for o caso, você é o alvo real.

    
por 03.06.2010 / 20:34