Vor einigen Wochen habe ich hier eine Frage zu einigen ssh
Problemen mit einer Ubuntu 12.04-Box gestellt. Schneller Vorlauf bis heute und ich versuche, jemand anderem Zugriff auf das Gerät zu gewähren, aber es werden immer wieder Kennwortfehler angezeigt. Ich checke aus, var/logs/auth.log
um weitere Informationen zu erhalten, und habe Folgendes gefunden:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
Ich habe fast 10000 Zeilen, die alle mehr oder weniger dasselbe aussagen (es gibt auch 4 auth.log.gz-Dateien, von denen ich annehme, dass sie mehr gleich sind?). Manchmal gibt es einen zufälligen Benutzernamen an die Anfrage angehängt,input_userauth_request: invalid user bash [preauth]
Ich weiß nicht viel über Server, aber es sieht so aus, als würde jemand versuchen, Zugang zu meinen zu bekommen.
Ich habe in Ubuntu gegoogelt, wie man eine IP-Adresse blockiert, und habe dann folgendes Ergebnis erzielt: iptables -A INPUT -s 211.110.xxx.x -j DROP
Aber nachdem ich diesen Befehl ausgeführt und die Protokolle überprüft habe, erhalte ich immer noch alle 5 Sekunden Anfragen von dieser einen IP- Adresse .
Wie kann ich mehr darüber erfahren, was los ist, und mit diesen ständigen Anfragen umgehen?
Antworten:
Nach Ihrer Beschreibung scheint es sich um einen automatisierten Angriff auf Ihren Server zu handeln. Die meisten Angriffe sind, es sei denn, der Angreifer kennt Sie persönlich und hält einen Groll ...
Wie auch immer, vielleicht möchten Sie nach Denyhosts suchen, die Sie von den üblichen Repos erhalten können. Es kann wiederholte Versuche analysieren und blockiert deren IP-Adresse. Möglicherweise haben Sie noch etwas in Ihren Protokollen, aber es hilft zumindest dabei, Sicherheitsbedenken auszuräumen.
Was das Erhalten weiterer Informationen angeht, würde ich mich wirklich nicht darum kümmern. Sofern sie kein Amateur sind, werden sie einen Remote-Server verwenden, um ihre Drecksarbeit zu erledigen, die Ihnen nichts darüber verrät, wer sie wirklich sind. Am besten finden Sie den Administrator für den IP-Bereich (hier ist WHOIS Ihr Freund) und lassen ihn wissen, dass Sie von dieser IP-Adresse aus viele Zugriffsversuche erhalten. Sie können gut genug sein, um etwas dagegen zu unternehmen.
quelle
refused connect from....
, aber ich bin gespannt, ob das Erhalten dieser Unsinnanforderungen alle 5 Sekunden ein Problem für die Serverleistung später sein könnte. Woher weiß ich, ob ich Zugriff auf einen Upstream-Router habe? Ich habe gerade root-ZugangPermitRootLogin no
undPasswordAuthentication no
in / etc / ssh / sshd_configSie möchten diese fehlgeschlagenen Anmeldeversuche nicht in Ihren Protokollen sehen, daher sollten Sie diese IP im Netzwerk filtern.
Wenn Sie einen eigenen Router oder eine Hardware-Firewall haben (nicht diejenige auf dem Server), blockieren Sie diese IP. Sie können Ihren Internetprovider auch bitten, ihn zu blockieren.
Wenn der Server VPS ist, bitten Sie Ihren VPS-Anbieter, diese IP zu blockieren. In den meisten Fällen wird Ihre Anfrage nicht abgelehnt, da sie nichts kostet.
Angriffe von einer einzelnen IP-Adresse aus können im Vergleich zu Angriffen von vielen verschiedenen IP-Adressen problemlos abgewehrt werden. Zum Schutz vor verteilten Angriffen benötigen Sie einen speziellen Service des Netzwerkanbieters, den Sie bezahlen müssen. Auf Serverebene können Sie mit Denyhosts oder Fail2ban kämpfen. Fail2ban schützt nicht nur SSH, sondern auch andere Dienste. Es verbraucht etwas mehr Speicher. Fail2ban verwendet iptables, um IPs zu blockieren, und DenyHosts verwendet die Datei hosts.deny. Beide verwenden Protokolle, um böswillige Versuche zu finden. Sie können iptables auch für ratenbegrenzende SSH-Versuche konfigurieren, die nicht auf Protokollen beruhen.
quelle
Alle guten Antworten oben jedoch ...
Sie haben geschrieben: "Ich versuche, anderen Benutzern Zugriff auf den Computer zu gewähren, aber sie erhalten immer wieder Kennwortfehler."
Da die meisten von uns eine dynamische IP-Adresse mit einer begrenzten DNS-Lease-Zeit für Anbieter verwenden, verwenden die meisten von uns einen dynamischen DNS-Dienst, um unterwegs auf ihren Server zuzugreifen. Könnte es sein, dass Ihr Remote-Benutzer auch einen solchen Dienst verwendet, um zu Ihnen zu gelangen, und dass dies die IOP-Adresse ist, die Sie sehen?
Übrigens: Viele "Port-Tapping" -Hacker verlassen sich darauf, dass Sie das tun, was viele Heimserverbenutzer tun. Sie ändern nämlich nicht die Standard-Anmelde-ID für den Zustellungsstatus. (oft "admin" !!) und feuere einfach alle möglichen Kombinationen des Passwortes durch
quelle
denyhosts
dass ich mich selbst aussperren werde, wenn sich meine IP ändert. Es sieht so aus, als würde mein Wochenende damit verbracht, diesen [ askubuntu.com/questions/2271/how-to-harden-an-ssh-server] und die DokumenteIch denke, Sie werden feststellen, dass 99% der Hacking-Versuche aus China kommen. Das habe ich gefunden. Es ist sinnlos, eine chinesische IP für das Hacken zu melden, da sie wahrscheinlich vom Staat sanktioniert wird. Ich blockiere nicht nur die IP, sondern auch den Bereich, in dem sich die IP befindet. Verwenden Sie die Option "Subnetz" auf Ihrem Router oder bei IPTables auf Ihrer Linux-Box das Subnetz oder "/ bits" (z. B.: / 24). Auf dieser Seite finden Sie eine Liste der IP-Blöcke nach Land (es gibt eine tar.gz-Datei mit allen): http://www.ipdeny.com/ipblocks/data/countries . Die WHOIS-Webseite https://whois-search.com/ gibt Ihnen einen guten Start, in welchem Land Sie suchen müssen.
quelle
1. Es sei denn, Sie müssen niemals Standard-Ports für Ihren Server zum Netz öffnen. Richten Sie den Router so ein, dass er einen zufälligen Port wie 53846 öffnet und an den Port 22 des Computers weiterleitet.
Opportunity-Hacker können einen großen Bereich von IP-Adressen nach bekannten Ports wie 22 durchsuchen und versuchen, diese auszunutzen.
2. schlug ihn zurück. Nmap ihn und finde heraus, was er läuft. Dann versuchen Sie, Zugang zu seinem zu bekommen. Nur als Gegenfeuer. Wenn er weiß, dass Sie an ihm dran sind, hört er vielleicht auf.
Sie könnten ihn auch wie einen verrückten Warnschuss anpingen.
3 rd. Wenn Sie Spaß haben möchten, können Sie das Gastkonto eröffnen. Stellen Sie sicher, dass es überhaupt keine Privilegien gibt. Beschränkt es auf das Home-Verzeichnis der Gäste. Wenn Sie niedlich werden möchten, können Sie eine gefälschte Stammverzeichnisstruktur für einen Lauf einrichten. Legen Sie das Kennwort als ein gemeinsames oder kein Kennwort fest. Melden Sie sich an.
Dann können Sie den Schreibbefehl verwenden und ihn fragen, warum er darauf besteht, Ihren Server zu hämmern.
quelle