Ich möchte eine Regel einrichten, um SSH-Anforderungen von EC2 zu blockieren, da ich von dort aus eine große Anzahl von SSH-basierten Angriffen gesehen habe und mich gefragt habe, ob jemand weiß, welche IP-Bereiche sie haben.
EDIT: Vielen Dank für die Antwort. Ich habe die iptables-Regeln wie folgt implementiert. Ich ignoriere den gesamten Verkehr für den Moment. Protokolliere es nur, um zu sehen, ob die Regeln funktionieren und um zu erfahren, wie viel Mist EC2 verschickt;)
#EC2 Blacklist
$IPTBLS -A INPUT -s 67.202.0.0/18 -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 67.202.0.0/18 -j DROP
$IPTBLS -A INPUT -s 72.44.32.0/19 -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 72.44.32.0/19 -j DROP
$IPTBLS -A INPUT -s 75.101.128.0/17 -j LOG --log-prefix "<firewall> EC2 traffic
"
$IPTBLS -A INPUT -s 75.101.128.0/17 -j DROP
$IPTBLS -A INPUT -s 174.129.0.0/16 -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 174.129.0.0/16 -j DROP
$IPTBLS -A INPUT -s 204.236.192.0/18 -j LOG --log-prefix "<firewall> EC2 traffic
"
$IPTBLS -A INPUT -s 204.236.192.0/18 -j DROP
$IPTBLS -A INPUT -s 204.236.224.0/19 -j LOG --log-prefix "<firewall> EC2 traffic
"
$IPTBLS -A INPUT -s 204.236.224.0/19 -j DROP
$IPTBLS -A INPUT -s 79.125.0.0/17 -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 79.125.0.0/17 -j DROP
firewall
iptables
amazon-ec2
hacking
Nicolas Kassis
quelle
quelle
fail2ban
oder ähnliche Fehlerblocker, die Anforderung einer Zwei-Faktor-Authentifizierung, die Verwendung einer nicht standardmäßigen Portnummer und zweifellos andere Methoden zur Schadensbegrenzung umfassen. Aber einfach zu sagen "ssh nicht aussetzen" scheint mir ein bisschen nicht hilfreich zu sein.Antworten:
Die aktualisierte Liste finden Sie hier: https://forums.aws.amazon.com/ann.jspa?annID=1701
quelle
+1 zu dem, was gekkz gesagt hat. Außerdem würde ich vorschlagen, fail2ban zu installieren, um Systemressourcen für wichtigere Dinge als Wörterbuchangriffe zu erhalten.
quelle
Gemäß https://forums.aws.amazon.com/ann.jspa?annID=1252
quelle