¿Alguien está intentando hackear mi servidor? ¿Que puedo hacer?

12

Hace unas semanas publiqué una pregunta aquí sobre algunos sshproblemas que tenía con un cuadro de Ubuntu 12.04. Avancemos rápidamente hasta el día de hoy y estoy tratando de permitir que otra persona acceda a la máquina, pero siguen recibiendo errores de contraseña. Comprobé var/logs/auth.logpara obtener más información y encontré esto:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

Tengo casi 10000 líneas que parecen decir más o menos lo mismo (también hay 4 archivos auth.log.gz, que supongo que son más de lo mismo). A veces hay un nombre de usuario aleatorio adjunto a la solicitud,input_userauth_request: invalid user bash [preauth]

No sé mucho sobre servidores, pero parece que alguien está tratando de obtener acceso al mío.

Busqué en Google cómo bloquear una dirección IP en Ubuntu y terminé con esto: iptables -A INPUT -s 211.110.xxx.x -j DROPpero después de ejecutar ese comando y verificar los registros, todavía recibo solicitudes de esta IP cada 5 segundos.

¿Cómo puedo obtener más información sobre lo que está sucediendo y atender estas solicitudes constantes?

usuario2936314
fuente
Denyhosts es grande, pero nota que es un proyecto muerto :( usted debe buscar en el uso de iptables askubuntu.com/questions/433924/...
AMC

Respuestas:

14

Por lo que describe, parece un ataque automatizado en su servidor. La mayoría de los ataques son, a menos que el atacante lo conozca personalmente y guarde rencor ...

De todos modos, es posible que desees buscar en denyhosts, que puedes obtener de los repositorios habituales. Puede analizar intentos repetidos y bloqueará su dirección IP. Aún puede obtener algo en sus registros, pero al menos ayudará a mitigar cualquier problema de seguridad.

En cuanto a obtener más información, realmente no me molestaría. A menos que sean aficionados, utilizarán un servidor remoto para hacer su trabajo sucio que no les dirá nada acerca de quiénes son realmente. Su mejor opción es encontrar el administrador para el rango de IP (WHOIS es su amigo aquí) y hacerles saber que está obteniendo muchos intentos de acceso de esa IP. Pueden ser lo suficientemente buenos como para hacer algo al respecto.

Drac Noc
fuente
3
+1. Ha abierto un puerto a Internet externo: las personas intentan obtener acceso, pero no lo logran. Eso es más o menos lo de siempre. Si tiene acceso a un enrutador ascendente, puede configurarlo para que desconecte las conexiones de 211.110.xxx.x para que sus propios archivos de registro no se contaminen tanto.
Jos
Agregué denyhosts y ahora se muestran los registros refused connect from...., pero tengo curiosidad por saber si recibir estas solicitudes sin sentido cada 5 segundos podría ser un problema para el rendimiento del servidor más adelante. ¿Cómo sé si tengo acceso a un enrutador ascendente? Solo tengo acceso de root
user2936314
2
Por enrutador ascendente, me refiero a un enrutador de puerta de enlace en su propia red doméstica o de empresa que administra. Si no lo sabe, es muy probable que no tenga acceso a él. La caída de paquetes no es un problema de rendimiento.
Jos
2
Obtener una solicitud de una IP cada 5 segundos no afectará su rendimiento en ninguna medida significativa.
Drac Noc
3
Para los servidores que están expuestos a la red (bueno, para cualquier servidor ssh realmente) debe configurar PermitRootLogin noy PasswordAuthentication noen / etc / ssh / sshd_config
unhammer
3

No desea ver estos intentos fallidos de inicio de sesión en sus registros, por lo que debe filtrar esta IP en la red.

Si tiene su propio enrutador o firewall de hardware (no el que está en el servidor), úselo para bloquear esta IP. También puede pedirle a su proveedor de internet que lo bloquee.

Si el servidor es VPS, solicite a su proveedor de VPS que bloquee esta IP. En la mayoría de los casos, no rechazarán su solicitud de ayuda, porque no les cuesta nada.

Los ataques desde una sola IP pueden mitigarse fácilmente en comparación con los ataques que provienen de muchas IP diferentes. Para protegerse contra ataques distribuidos, necesita un servicio especial del proveedor de la red que debe pagar. En el nivel del servidor puedes luchar con Denyhosts o Fail2ban. Fail2ban protege no solo ssh sino también otros servicios. Utiliza un poco más de memoria. Fail2ban usa iptables para bloquear IPs y DenyHosts usa el archivo hosts.deny, ambos usan registros para encontrar intentos maliciosos. También puede configurar iptables para intentos de ssh de limitación de velocidad que no dependen de registros.

vladiz
fuente
¿Hay alguna manera de detener el registro desde esta IP desde mi máquina?
user2936314
No es una buena idea filtrar sus registros. Nunca se sabe, pueden tener suerte y querrás una historia escrita completa de lo que sucedió.
Drac Noc
@ user2936314 Realmente no es una buena idea, es mejor que cambie el puerto ssh. Cambiar el puerto no es la solución perfecta, pero eliminarás muchos bots. Algunos de ellos son más inteligentes y buscan puertos abiertos. Tuve el mismo problema y fail2ban estaba bloqueando 20 IP por día. Después de cambiar el puerto ssh, observo una disminución significativa de los intentos maliciosos de ssh
vladiz
Todos ustedes son geniales. ¿Lectura recomendada para la introducción al administrador del servidor ubuntu? Estoy leyendo La Interfaz de programación de Linux, pero no parece que este tipo de cosas se cubre mucho
user2936314
1
@ user2936314 Consulte la documentación oficial , la guía del servidor para Ubuntu 12.04 o la versión que necesite.
vladiz
0

Todas las buenas respuestas anteriores, sin embargo ...

Usted escribió "Estoy tratando de permitir que otra persona acceda a la máquina, pero siguen recibiendo errores de contraseña"

Como la mayoría de nosotros estamos en una IP dinámica con un tiempo de arrendamiento de DNS de proveedor limitado, la mayoría de nosotros usamos un servicio de DNS dinámico para acceder a nuestro servidor cuando estamos de viaje. ¿Podría ser que su usuario remoto también esté utilizando dicho servicio para comunicarse con usted y que esa es la dirección de IOP que está viendo?

Por cierto, muchos piratas informáticos "interceptan puertos" confían en que usted haga lo que hacen muchos usuarios del servidor doméstico, a saber, no cambian la identificación de inicio de sesión predeterminada del estado de entrega. (¡a menudo "admin"!) y simplemente activa todas las combinaciones posibles de la contraseña

David Walker
fuente
Pensé en este caso cuando noté por primera vez los registros. Verifiqué con la persona que sé que estaba intentando acceder a la máquina y su IP no coincidía con la de los registros. Sé que tampoco ha estado tratando de entrar cada 5 segundos durante días. Sin embargo, lo bueno de los ips dinámicos es que estoy un poco preocupado por el hecho de denyhostsque terminaré bloqueándome si mi IP cambia. Parece que mi fin de semana lo pasaré revisando esto [ askubuntu.com/questions/2271/how-to-harden-an-ssh-server] y los documentos
user2936314
0

Creo que encontrará que el 99% de los intentos de piratería provienen de China. Esto es lo que he encontrado. Es inútil informar una IP china por piratería, ya que probablemente esté sancionada por el estado. No bloqueo solo la IP, bloqueo el rango en el que se encuentra la IP. Use la opción "subred" en su enrutador o con IPTables en su caja Linux, use la subred o "/ bits" (por ejemplo: / 24). Esta página le dará una lista de bloqueos de IP por país (hay un archivo tar.gz con todos): http://www.ipdeny.com/ipblocks/data/countries . La página web de WHOIS https://whois-search.com/ le ofrece un buen comienzo para saber en qué país buscar.

Wazza65
fuente
-1

1er. A menos que nunca necesite abrir puertos estándar a su servidor a la red. Configure el enrutador para abrir un puerto aleatorio como 53846 y reenvíelo al puerto 22 de esa máquina.

Los hackers de oportunidad pueden escanear una amplia gama de direcciones IP para puertos conocidos como 22 y tratar de explotar.

El segundo le devolvió el golpe. Hazle un mapa y descubre lo que está ejecutando. Luego intenta acceder a la suya. Justo como devolver el fuego. Si él sabe que estás con él, el dobladillo puede detenerse.

También puedes hacerle un ping como loco como un disparo de advertencia.

3 er. Si quieres divertirte, puedes abrir la cuenta de invitado. Asegúrese de que no haya privilegios en absoluto. Confínalo al directorio de inicio de invitados. Si quieres ponerte lindo, puedes configurar una estructura de directorio raíz falsa para correr. Establezca la contraseña como una contraseña común o sin contraseña. Permita que inicie sesión.

Luego puedes usar el comando de escritura y preguntarle por qué insiste en martillar tu servidor.

Don
fuente
(1) simplemente oculta las rutas de acceso, pero no las asegura. (2) es ilegal en la mayoría de las jurisdicciones. (3) es arriesgado, porque ocurre una mala configuración y pueden existir vulnerabilidades de escalada de privilegios, y probablemente no tengan sentido, ya que la mayoría de los ataques están automatizados para ejecutarse en rangos de direcciones IP, como usted mismo señala.
David Foerster