Tentativas de invasão na caixa do Ubuntu VPS [duplicado]

Navegue suas respostas
1

Possible Duplicates:
Is it normal to get hundreds of break-in attempts per day?
What should I do if I find someone is brute forcing my server password?

Eu tenho uma caixa Ubuntu 10.04 VPS. Ele foi instalado por alguns dias e só tem ssh, postfix / dovecot em execução. O servidor destina-se a ser utilizado para as minhas necessidades pessoais, como e-mail e desenvolvimento de RoR. Meu /var/log/auth.log já tem aproximadamente 300k e está cheio de mensagens como estas: 

Jul  4 03:18:36 artemis sshd[360]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.96.201.81  user=root
Jul  4 03:18:38 artemis sshd[360]: Failed password for root from 66.96.201.81 port 58040 ssh2
Jul  4 03:18:39 artemis sshd[362]: reverse mapping checking getaddrinfo for 66-96-201-81.static.hostnoc.net [66.96.201.81] failed - POSSIBLE BREAK-IN ATTEMPT!

Há outros usuários aleatórios com os quais eles tentaram fazer login, como user , testftp , ftp , samba , postgres , admin , alex e assim por diante. Eu fiz whois aleatoriamente em alguns dos endereços IP e eles parecem pertencer à China, Uruguai, Equador e alguns outros países. Quão comuns são essas tentativas de invasão de força bruta? Eu preciso me preocupar? Devo instalar o firewall ou tomar outras medidas de segurança?

    
por Artem Pakk 04.07.2011 / 15:42

3 respostas

1

Você não deve se preocupar com essas tentativas, pois elas são muito comuns, o que você pode (e fazer com o IMHO) para reduzir o risco do seu servidor ser comprometido é o seguinte:

  • Use seu firewall, se puder, você só deve permitir que seus IPs se conectem a serviços não públicos, sejam eles quais forem. De qualquer forma, configure seu firewall para bloquear os pacotes mais comuns e desconhecidos (redirecionamento de ICMP, falsos intervalos de IP ...) e permitir conexões apenas em portas e protocolos que você precisar.

  • Use o ssh a seu favor, use as chaves ssh como seu único método de autenticação e proteja sua chave privada com senha, assim os ataques de dicionário / bruteforce não têm mais chance. Se você não puder usar chaves, use a diretiva "Match" com "Address" para restringir ainda mais a conta que pode fazer logon de IPs públicos.

  • Dê uma olhada em fail2ban , essa ferramenta pode alterar dinamicamente as regras de firewall para bloquear também muitas tentativas do mesmo IP, cuidado, você pode ser sua própria vítima :)
    Mais informações em fail2ban aqui

por 04.07.2011 / 16:04
0

O que você está percebendo é muito comum - contanto que você tenha um servidor na Internet voltada para o público, as pessoas tentarão invadir. Portanto, manter seus pacotes de código e software atualizados é uma obrigação! E sim, usar um bom firewall também é importante.

Eu uso um programa chamado Config Server Security (CSF) . É bom porque ele registra essas coisas automaticamente, e você pode configurá-lo para bloquear permanentemente um determinado endereço IP após tantas tentativas falhas de SSH.

Outra prática que faço é reduzir a quantidade de "Maximum Failed Attempts" no arquivo sshd_config.

    
por 04.07.2011 / 15:50
0

Eu tive o mesmo problema que você. Vários ataques SSH e ataques de dicionário. Eu sugeriria usar uma abordagem de IPTables - com regras criadas manualmente ou usando um pacote como o fail2ban ou o denyhosts. Algo semelhante é pam_shield, mas é um pouco mais limitado em seus usos.

Eu sugeriria um login SSH não baseado em senha (ou seja, certificado / chave com base), além de restringir os endereços dos quais os logins SSH podem ser feitos.

Um exemplo de algumas regras do IPTables que podem ser usadas para este propósito pode ser encontrado em: link

    
por 04.07.2011 / 16:05

Tags

Este é um comando IPtables válido? 403.16 - O certificado de cliente não é confiável ou é inválido - IIS 6 - Windows Server 2003