Como encontrar a causa de uma exploração do ssh-scan?

As varreduras de SSH são geralmente ataques de força bruta. Eles apenas tentam nomes de usuários comuns com senhas comuns e fáceis. Vi um sistema ser comprometido usando a conta guest , com a senha "convidado". Suspiro.

A maioria das máquinas é pulverizada com esses pacotes o tempo todo. Como solução geral, gosto de fazer duas coisas no firewall:

• Use geoip e ipset para permitir acesso à porta 22 / tcp apenas de países específicos. Há uma porcentagem anormalmente alta desses ataques originados em .cn netblocks, por exemplo.

• Use a limitação de taxa em pacotes 22 / tcp SYN para que o mesmo endereço IP possa se conectar apenas N vezes por minuto antes de ser bloqueado por 10 ou 15 minutos. Isso impede o software de digitalização e também reduz o dano potencial às redes de outras pessoas. É um serviço da comunidade.

Existem outras formas também dependendo das suas necessidades e restrições.

Nos próprios computadores de destino, você também deve bloquear as contas do sistema e implementar uma política de senha que proíba senhas fáceis (verificação de listas de palavras, tamanho mínimo, etc.).

Verifique se há erros nos registros do servidor da Web e nos registros de acesso. Comece com os logs de erro. O mesmo para auth.log, para ataques de login de força bruta. Se você reconstruir seu servidor com o mesmo webapp ou senha no SSH, levará apenas alguns dias para ser hackeado novamente.