Birisi sunucuma saldırmaya mı çalışıyor? Ne yapabilirim?

Birkaç hafta önce sshbir Ubuntu 12.04 kutusuyla yaşadığım bazı sorunlar hakkında burada bir soru gönderdim . Bugün hızlı ilerleyin ve bir başkasının makineye erişmesine izin vermeye çalışıyorum, ancak şifre hataları almaya devam ediyorlar. Daha var/logs/auth.logfazla bilgi için ödeme yaptım ve bunu buldum:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

Tüm az ya da çok aynı şey söylüyor gibi görünüyor neredeyse 10000 satır var (4 auth.log.gz dosyaları vardır, hangi daha fazla aynı olduğunu varsayalım?). Bazen isteğe bağlı rastgele bir kullanıcı adı olabilir,input_userauth_request: invalid user bash [preauth]

Sunucular hakkında fazla bir şey bilmiyorum, ama birisi benimkine erişmeye çalışıyor gibi görünüyor.

Ubuntu'da bir IP adresini nasıl engelleyeceğinizi araştırdı ve bununla sonuçlandı: iptables -A INPUT -s 211.110.xxx.x -j DROPancak bu komutu çalıştırıp günlükleri kontrol ettikten sonra, her 5 saniyede bir bu IP'den istek alıyorum.

Neler olup bittiğiyle ilgili daha fazla bilgiyi nasıl bulabilir ve bu sürekli isteklerle nasıl başa çıkabilirim?

Açıkladığınızdan, sunucunuza otomatik bir saldırı gibi görünüyor. Saldırganın sizi kişisel olarak tanımadığı ve kin tuttuğu sürece saldırıların çoğu ...

Her neyse, olağan depolardan alabileceğiniz denyhosts'a bakmak isteyebilirsiniz. Tekrarlanan girişimleri analiz edebilir ve IP adreslerini engelleyecektir. Günlüklerinize yine de bir şeyler alabilirsiniz, ancak en azından güvenlik endişelerini azaltmaya yardımcı olacaktır.

Daha fazla bilgi almak için, gerçekten rahatsız olmaz. Bir amatör olmadıkları sürece, kirli işlerini yapmak için uzak bir sunucu kullanacaklar ve bu da gerçekte kim oldukları hakkında hiçbir şey söylemeyecek. En iyi seçeneğiniz IP aralığı için yöneticiyi bulmaktır (WHOIS burada arkadaşınızdır) ve bu IP'den çok sayıda erişim girişimi aldığınızı bildirmek. Bu konuda bir şeyler yapacak kadar iyi olabilirler.

Bu başarısız oturum açma girişimlerini günlüklerinizde görmek istemezsiniz, bu nedenle ağdaki bu IP'yi filtrelemeniz gerekir.

Kendi yönlendiriciniz veya donanım güvenlik duvarınız varsa (sunucudaki güvenlik duvarı değil) bu IP'yi engellemek için kullanın. İnternet sağlayıcınızdan engellemesini de isteyebilirsiniz.

Sunucu VPS ise, VPS sağlayıcınızdan bu IP'yi engellemesini isteyin. Çoğu durumda yardım talebinizi reddetmezler, çünkü hiçbir maliyeti yoktur.

Tek bir IP'den gelen saldırılar, birçok farklı IP'den gelen saldırılara kıyasla kolayca azaltılabilir. Dağıtılmış saldırılara karşı korumak için, ödemek zorunda olduğunuz şebeke sağlayıcısından özel bir servise ihtiyacınız vardır. Sunucu düzeyinde Denyhosts veya Fail2ban ile savaşabilirsiniz. Fail2ban sadece ssh'ı değil diğer hizmetleri de korur. Biraz daha bellek kullanıyor. Fail2ban IP'leri engellemek için iptables kullanır ve DenyHosts hosts.deny dosyasını kullanır, her ikisi de kötü amaçlı girişimleri bulmak için günlükleri kullanır. Ayrıca iptables'ı günlüklere dayanmayan ssh girişimleri için yapılandırabilirsiniz.

Ancak yukarıdaki tüm iyi yanıtlar ...

Sen yazdım "Ben makineye başkasının erişimine izin vermek çalışıyorum, ancak bunlar şifre hataları almaya devam"

Çoğumuz sınırlı bir sağlayıcı DNS kiralama süresine sahip dinamik bir IP üzerindeyken, çoğumuz yoldayken sunucumuza erişmek için dinamik bir DNS hizmeti kullanıyoruz. Uzaktaki kullanıcınız size ulaşmak için de böyle bir hizmet kullanıyor olabilir ve gördüğünüz GİB adresi bu olabilir mi?

BTW - "bağlantı noktası vurma" korsanlarının birçoğu birçok ev sunucusu kullanıcısının yaptığı şeylere güvenir, yani varsayılan teslimat durumu oturum açma kimliğini değiştirmezler. (genellikle "admin" !!) ve yalnızca şifrenin tüm olası kombinasyonlarını kullanın

Bence bilgisayar korsanlığı girişimlerinin% 99'u Çin'den geliyor. Bulduğum bu. Muhtemelen devlet tarafından onaylandığı için bir Çin IP'sini hacklemek için bildirmek işe yaramaz. Sadece IP'yi engellemiyorum, IP'nin bulunduğu aralığı engelliyorum. Yönlendiricinizdeki "subnet" seçeneğini veya Linux kutunuzdaki IPTables ile alt ağı veya "/ bits" kullanın (örn: / 24). Bu sayfa size ülkeye göre IP bloklarının bir listesini verecektir (hepsiyle birlikte bir tar.gz dosyası vardır): http://www.ipdeny.com/ipblocks/data/countries . WHOIS web sayfası https://whois-search.com/ hangi ülkeye bakacağınıza iyi bir başlangıç ​​sağlar.

1 inci. Sunucunuza hiçbir zaman standart portları net olarak açmanız gerekmedikçe. Yönlendiriciyi 53846 gibi rasgele bir bağlantı noktası açmak üzere ayarlayın ve bu makine bağlantı noktası 22'ye iletin.

Fırsat korsanları, 22 gibi bilinen bağlantı noktaları için çok çeşitli IP adreslerini tarayabilir ve sömürmeye çalışabilir.

2'nci onu geri vurdu. Nmap ve ne koştuğunu öğren. Sonra onun erişim elde etmeye çalışın. Tıpkı dönüş ateşi gibi. Eğer onun üzerinde olduğunuzu biliyorsa hem durabilir.

Ayrıca ona bir uyarı çekimi gibi deli gibi ping atabilirsiniz.

3 üncü. Biraz eğlenmek istiyorsanız, misafir hesabını açabilirsiniz. Hiç ayrıcalık olmadığından emin olun. Konukların giriş diziniyle sınırlayın. Sevimli olmak istiyorsan, etrafta dolaşmak için sahte bir kök dizin yapısı kurabilirsin. Şifreyi ortak bir şifre olarak veya hiç şifre olarak ayarlayın.

Sonra yazma komutunu kullanabilir ve neden sunucunuzu çekiçlemekte ısrar ettiğini sorabilirsiniz.