Czy ktoś próbuje włamać się na mój serwer? Co mogę zrobić?

Kilka tygodni temu opublikowałem tutaj pytanie dotyczące niektórych sshproblemów, które miałem z pudełkiem Ubuntu 12.04. Szybko do przodu do dzisiaj i próbuję zezwolić komuś innemu na dostęp do komputera, ale wciąż pojawiają się błędy hasła. Kasa var/logs/auth.logpo więcej informacji i znalazłem to:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

Mam prawie 10000 wierszy, które wydają się mówić mniej więcej to samo (są też 4 pliki auth.log.gz, które, jak zakładam, są mniej więcej takie same?). Czasami do żądania dołączona jest losowa nazwa użytkownika,input_userauth_request: invalid user bash [preauth]

Niewiele wiem o serwerach, ale wygląda na to, że ktoś próbuje uzyskać dostęp do mojego.

Poszukałem informacji o tym, jak zablokować adres IP w Ubuntu i skończyłem na tym: iptables -A INPUT -s 211.110.xxx.x -j DROPale po uruchomieniu tego polecenia i sprawdzeniu dzienników wciąż otrzymuję żądania z tego jednego adresu IP co 5 sekund.

Jak mogę dowiedzieć się więcej o tym, co się dzieje i poradzić sobie z tymi ciągłymi żądaniami?

Z tego, co opisujesz, wygląda to na automatyczny atak na twój serwer. Większość ataków jest, chyba że atakujący zna cię osobiście i ma pretensje ...

W każdym razie możesz zajrzeć do denyhosts, które możesz uzyskać ze zwykłych repozytoriów. Może analizować powtarzające się próby i blokuje ich adres IP. Nadal możesz mieć coś w swoich logach, ale to przynajmniej pomoże złagodzić wszelkie obawy dotyczące bezpieczeństwa.

Jeśli chodzi o uzyskiwanie dodatkowych informacji, naprawdę nie zawracałbym sobie głowy. O ile nie są amatorami, będą używać zdalnego serwera do wykonywania swojej brudnej roboty, która nie powie ci nic o tym, kim naprawdę jest. Najlepiej jest znaleźć administratora dla zakresu adresów IP (WHOIS jest tutaj twoim przyjacielem) i poinformować ich, że otrzymujesz wiele prób dostępu z tego adresu IP. Mogą być wystarczająco dobrzy, aby coś z tym zrobić.

Nie chcesz widzieć tych nieudanych prób logowania w swoich logach, więc powinieneś filtrować ten adres IP w sieci.

Jeśli masz własny router lub zaporę sprzętową (inną niż na serwerze), użyj go do zablokowania tego adresu IP. Możesz także poprosić dostawcę Internetu o jego zablokowanie.

Jeśli serwerem jest VPS, poproś dostawcę VPS o zablokowanie tego adresu IP. W większości przypadków nie odrzucą twojej prośby o pomoc, ponieważ nic nie kosztuje.

Ataki z jednego adresu IP można łatwo złagodzić w porównaniu z atakami pochodzącymi z wielu różnych adresów IP. Aby chronić się przed atakiem rozproszonym, potrzebujesz specjalnej usługi od operatora sieci, którą musisz zapłacić. Na poziomie serwera możesz walczyć z Denyhosts lub Fail2ban. Fail2ban chroni nie tylko ssh, ale i inne usługi. Zużywa trochę więcej pamięci. Fail2ban używa iptables do blokowania adresów IP, a DenyHost używa pliku hosts.deny, oba używają dzienników do znalezienia złośliwych prób. Możesz także skonfigurować iptables do ograniczania prędkości prób ssh, które nie zależą od logów.

Wszystkie dobre odpowiedzi powyżej jednak ...

Napisałeś „Próbuję zezwolić komuś innemu na dostęp do komputera, ale wciąż pojawiają się błędy hasła”

Ponieważ większość z nas korzysta z dynamicznego adresu IP z ograniczonym czasem dzierżawy DNS dostawcy, większość z nas korzysta z dynamicznej usługi DNS, aby uzyskać dostęp do naszego serwera podczas podróży. Czy to możliwe, że Twój zdalny użytkownik również korzysta z takiej usługi, aby się z Tobą skontaktować, i że widzisz adres IOP?

BTW - wielu hakerów polegających na podsłuchiwaniu portów polega na tym, że robisz to, co robi wielu użytkowników serwerów domowych, a mianowicie nie zmienia domyślnego identyfikatora logowania do stanu dostawy. (często „admin” !!) i po prostu odpal wszystkie możliwe kombinacje hasła

Myślę, że przekonasz się, że 99% prób włamań pochodzi z Chin. Oto co znalazłem. Nie ma sensu zgłaszać chińskiego adresu IP za włamanie, ponieważ prawdopodobnie jest to sankcjonowane przez państwo. Nie blokuję tylko adresu IP, blokuję zakres, w jakim znajduje się adres IP. Użyj opcji „podsieć” na routerze lub z tabelami IP na twoim Linux-ie, użyj podsieci lub „/ bitów” (np .: / 24). Na tej stronie znajdziesz listę bloków adresów IP według kraju (ze wszystkimi znajduje się plik tar.gz): http://www.ipdeny.com/ipblocks/data/countries . Strona internetowa WHOIS https://whois-search.com/ daje dobry początek, w jakim kraju szukać.

1. miejsce Chyba że nie musisz nigdy otwierać standardowych portów serwera na sieć. Skonfiguruj router, aby otworzył losowy port, taki jak 53846, i przekieruj go do portu 22 komputerów.

Hakerzy okazjonalni mogą skanować szeroki zakres adresów IP w poszukiwaniu znanych portów, takich jak 22, i próbować je wykorzystać.

2. uderzył go z powrotem. Nmap go i dowiedz się, co on biegnie. Następnie spróbuj uzyskać dostęp do jego. Tak jak ogień powrotny. Jeśli wie, że jesteś przy nim, hem może się zatrzymać.

Możesz go również pingować jak szalony jak ostrzeżenie.

3 miejsce Jeśli chcesz się zabawić, możesz otworzyć konto gościa. Upewnij się, że nie ma żadnych zobowiązań. Ogranicz go do katalogu domowego gości. Jeśli chcesz się uroczo, możesz skonfigurować fałszywą strukturę katalogów głównych na potrzeby biegania. Ustaw hasło jako wspólne lub bez hasła. Zaloguj się.

Następnie możesz użyć polecenia zapisu i zapytać go, dlaczego nalega na wbicie twojego serwera.