Versucht jemand, sich in meinen Server zu hacken? Was kann ich tun?

12

Vor einigen Wochen habe ich hier eine Frage zu einigen sshProblemen mit einer Ubuntu 12.04-Box gestellt. Schneller Vorlauf bis heute und ich versuche, jemand anderem Zugriff auf das Gerät zu gewähren, aber es werden immer wieder Kennwortfehler angezeigt. Ich checke aus, var/logs/auth.logum weitere Informationen zu erhalten, und habe Folgendes gefunden:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

Ich habe fast 10000 Zeilen, die alle mehr oder weniger dasselbe aussagen (es gibt auch 4 auth.log.gz-Dateien, von denen ich annehme, dass sie mehr gleich sind?). Manchmal gibt es einen zufälligen Benutzernamen an die Anfrage angehängt,input_userauth_request: invalid user bash [preauth]

Ich weiß nicht viel über Server, aber es sieht so aus, als würde jemand versuchen, Zugang zu meinen zu bekommen.

Ich habe in Ubuntu gegoogelt, wie man eine IP-Adresse blockiert, und habe dann folgendes Ergebnis erzielt: iptables -A INPUT -s 211.110.xxx.x -j DROPAber nachdem ich diesen Befehl ausgeführt und die Protokolle überprüft habe, erhalte ich immer noch alle 5 Sekunden Anfragen von dieser einen IP- Adresse .

Wie kann ich mehr darüber erfahren, was los ist, und mit diesen ständigen Anfragen umgehen?

user2936314
quelle
Denyhosts ist großartig, aber beachten Sie, dass es sich um ein totes Projekt handelt :( Sie sollten iptables verwenden. Askubuntu.com/questions/433924/…
amc

Antworten:

14

Nach Ihrer Beschreibung scheint es sich um einen automatisierten Angriff auf Ihren Server zu handeln. Die meisten Angriffe sind, es sei denn, der Angreifer kennt Sie persönlich und hält einen Groll ...

Wie auch immer, vielleicht möchten Sie nach Denyhosts suchen, die Sie von den üblichen Repos erhalten können. Es kann wiederholte Versuche analysieren und blockiert deren IP-Adresse. Möglicherweise haben Sie noch etwas in Ihren Protokollen, aber es hilft zumindest dabei, Sicherheitsbedenken auszuräumen.

Was das Erhalten weiterer Informationen angeht, würde ich mich wirklich nicht darum kümmern. Sofern sie kein Amateur sind, werden sie einen Remote-Server verwenden, um ihre Drecksarbeit zu erledigen, die Ihnen nichts darüber verrät, wer sie wirklich sind. Am besten finden Sie den Administrator für den IP-Bereich (hier ist WHOIS Ihr Freund) und lassen ihn wissen, dass Sie von dieser IP-Adresse aus viele Zugriffsversuche erhalten. Sie können gut genug sein, um etwas dagegen zu unternehmen.

Drac Noc
quelle
3
+1. Sie haben einen Port zum externen Internet geöffnet: Leute versuchen, Zugang zu erhalten, scheitern jedoch. Das ist mehr oder weniger normal. Wenn Sie Zugriff auf einen Upstream-Router haben, können Sie festlegen, dass Verbindungen von 211.110.xxx.x getrennt werden, damit Ihre eigenen Protokolldateien nicht so stark verschmutzt werden.
Jos
Ich habe denyhosts hinzugefügt und jetzt werden die Protokolle angezeigt refused connect from...., aber ich bin gespannt, ob das Erhalten dieser Unsinnanforderungen alle 5 Sekunden ein Problem für die Serverleistung später sein könnte. Woher weiß ich, ob ich Zugriff auf einen Upstream-Router habe? Ich habe gerade root-Zugang
user2936314
2
Mit Upstream-Router meine ich einen Gateway-Router in Ihrem eigenen Heim- oder Firmennetzwerk, den Sie verwalten. Wenn Sie es nicht wissen, haben Sie höchstwahrscheinlich keinen Zugriff darauf. Das Verwerfen von Paketen ist kaum ein Leistungsproblem.
Jos
2
Wenn Sie alle 5 Sekunden eine Anfrage von einer IP-Adresse erhalten, wirkt sich dies in keiner Weise auf Ihre Leistung aus.
Drac Noc
3
Bei Servern , die (gut, für all SSH - Server wirklich) an das Netz ausgesetzt sind Sie setzen sollen PermitRootLogin nound PasswordAuthentication noin / etc / ssh / sshd_config
unhammer
3

Sie möchten diese fehlgeschlagenen Anmeldeversuche nicht in Ihren Protokollen sehen, daher sollten Sie diese IP im Netzwerk filtern.

Wenn Sie einen eigenen Router oder eine Hardware-Firewall haben (nicht diejenige auf dem Server), blockieren Sie diese IP. Sie können Ihren Internetprovider auch bitten, ihn zu blockieren.

Wenn der Server VPS ist, bitten Sie Ihren VPS-Anbieter, diese IP zu blockieren. In den meisten Fällen wird Ihre Anfrage nicht abgelehnt, da sie nichts kostet.

Angriffe von einer einzelnen IP-Adresse aus können im Vergleich zu Angriffen von vielen verschiedenen IP-Adressen problemlos abgewehrt werden. Zum Schutz vor verteilten Angriffen benötigen Sie einen speziellen Service des Netzwerkanbieters, den Sie bezahlen müssen. Auf Serverebene können Sie mit Denyhosts oder Fail2ban kämpfen. Fail2ban schützt nicht nur SSH, sondern auch andere Dienste. Es verbraucht etwas mehr Speicher. Fail2ban verwendet iptables, um IPs zu blockieren, und DenyHosts verwendet die Datei hosts.deny. Beide verwenden Protokolle, um böswillige Versuche zu finden. Sie können iptables auch für ratenbegrenzende SSH-Versuche konfigurieren, die nicht auf Protokollen beruhen.

vladiz
quelle
Gibt es eine Möglichkeit, die Protokollierung von dieser IP von meinem Computer aus zu beenden?
user2936314
Es ist keine gute Idee, Ihre Protokolle zu filtern. Sie wissen nie, dass sie Glück haben könnten und Sie möchten eine vollständige geschriebene Geschichte dessen, was passiert ist.
Drac Noc
@ user2936314 Eigentlich keine gute Idee, ändern Sie besser den ssh-Port. Das Ändern des Ports ist nicht die perfekte Lösung, aber Sie werden viele Bots los. Einige von ihnen sind intelligenter und suchen nach offenen Ports. Ich hatte das gleiche Problem und fail2ban blockierte 20 IPs pro Tag. Nach dem Ändern des SSH-Ports beobachte ich eine signifikante Abnahme der böswilligen
SSH-
Ihr seid alle großartig. Empfohlene Lektüre für das Intro zum Ubuntu-Server-Admin? Ich lese gerade Die Linux-Programmierschnittstelle, aber es sieht nicht so aus, als ob so etwas viel behandelt wird
user2936314
1
@ user2936314 Überprüfen Sie die offizielle Dokumentation , das Serverhandbuch für Ubuntu 12.04 oder die von Ihnen benötigte Version.
Vladiz
0

Alle guten Antworten oben jedoch ...

Sie haben geschrieben: "Ich versuche, anderen Benutzern Zugriff auf den Computer zu gewähren, aber sie erhalten immer wieder Kennwortfehler."

Da die meisten von uns eine dynamische IP-Adresse mit einer begrenzten DNS-Lease-Zeit für Anbieter verwenden, verwenden die meisten von uns einen dynamischen DNS-Dienst, um unterwegs auf ihren Server zuzugreifen. Könnte es sein, dass Ihr Remote-Benutzer auch einen solchen Dienst verwendet, um zu Ihnen zu gelangen, und dass dies die IOP-Adresse ist, die Sie sehen?

Übrigens: Viele "Port-Tapping" -Hacker verlassen sich darauf, dass Sie das tun, was viele Heimserverbenutzer tun. Sie ändern nämlich nicht die Standard-Anmelde-ID für den Zustellungsstatus. (oft "admin" !!) und feuere einfach alle möglichen Kombinationen des Passwortes durch

David Walker
quelle
Ich dachte an diesen Fall, als ich die Protokolle zum ersten Mal bemerkte. Ich habe mich bei der Person erkundigt, die versucht hat, auf den Computer zuzugreifen, und deren IP-Adresse stimmt nicht mit der in den Protokollen überein. Ich weiß, dass er auch seit Tagen nicht mehr versucht hat, alle 5 Sekunden reinzukommen. Ein guter Punkt in Bezug auf dynamisches IPS. Ich bin etwas besorgt darüber, denyhostsdass ich mich selbst aussperren werde, wenn sich meine IP ändert. Es sieht so aus, als würde mein Wochenende damit verbracht, diesen [ askubuntu.com/questions/2271/how-to-harden-an-ssh-server] und die Dokumente
user2936314,
0

Ich denke, Sie werden feststellen, dass 99% der Hacking-Versuche aus China kommen. Das habe ich gefunden. Es ist sinnlos, eine chinesische IP für das Hacken zu melden, da sie wahrscheinlich vom Staat sanktioniert wird. Ich blockiere nicht nur die IP, sondern auch den Bereich, in dem sich die IP befindet. Verwenden Sie die Option "Subnetz" auf Ihrem Router oder bei IPTables auf Ihrer Linux-Box das Subnetz oder "/ bits" (z. B.: / 24). Auf dieser Seite finden Sie eine Liste der IP-Blöcke nach Land (es gibt eine tar.gz-Datei mit allen): http://www.ipdeny.com/ipblocks/data/countries . Die WHOIS-Webseite https://whois-search.com/ gibt Ihnen einen guten Start, in welchem ​​Land Sie suchen müssen.

Wazza65
quelle
-1

1. Es sei denn, Sie müssen niemals Standard-Ports für Ihren Server zum Netz öffnen. Richten Sie den Router so ein, dass er einen zufälligen Port wie 53846 öffnet und an den Port 22 des Computers weiterleitet.

Opportunity-Hacker können einen großen Bereich von IP-Adressen nach bekannten Ports wie 22 durchsuchen und versuchen, diese auszunutzen.

2. schlug ihn zurück. Nmap ihn und finde heraus, was er läuft. Dann versuchen Sie, Zugang zu seinem zu bekommen. Nur als Gegenfeuer. Wenn er weiß, dass Sie an ihm dran sind, hört er vielleicht auf.

Sie könnten ihn auch wie einen verrückten Warnschuss anpingen.

3 rd. Wenn Sie Spaß haben möchten, können Sie das Gastkonto eröffnen. Stellen Sie sicher, dass es überhaupt keine Privilegien gibt. Beschränkt es auf das Home-Verzeichnis der Gäste. Wenn Sie niedlich werden möchten, können Sie eine gefälschte Stammverzeichnisstruktur für einen Lauf einrichten. Legen Sie das Kennwort als ein gemeinsames oder kein Kennwort fest. Melden Sie sich an.

Dann können Sie den Schreibbefehl verwenden und ihn fragen, warum er darauf besteht, Ihren Server zu hämmern.

Don
quelle
(1) verdeckt lediglich Zugangswege, sichert sie jedoch nicht. (2) ist in den meisten Gerichtsbarkeiten illegal. (3) ist riskant, da es zu einer Fehlkonfiguration kommt und Sicherheitslücken in Bezug auf die Eskalation von Berechtigungen bestehen können. Dies ist wahrscheinlich sinnlos, da die meisten Angriffe so automatisiert sind, dass sie auf Bereiche von IP-Adressen angewendet werden, wie Sie selbst betonen.
David Foerster