Hace unas semanas publiqué una pregunta aquí sobre algunos ssh
problemas que tenía con un cuadro de Ubuntu 12.04. Avancemos rápidamente hasta el día de hoy y estoy tratando de permitir que otra persona acceda a la máquina, pero siguen recibiendo errores de contraseña. Comprobé var/logs/auth.log
para obtener más información y encontré esto:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
Tengo casi 10000 líneas que parecen decir más o menos lo mismo (también hay 4 archivos auth.log.gz, que supongo que son más de lo mismo). A veces hay un nombre de usuario aleatorio adjunto a la solicitud,input_userauth_request: invalid user bash [preauth]
No sé mucho sobre servidores, pero parece que alguien está tratando de obtener acceso al mío.
Busqué en Google cómo bloquear una dirección IP en Ubuntu y terminé con esto: iptables -A INPUT -s 211.110.xxx.x -j DROP
pero después de ejecutar ese comando y verificar los registros, todavía recibo solicitudes de esta IP cada 5 segundos.
¿Cómo puedo obtener más información sobre lo que está sucediendo y atender estas solicitudes constantes?
Respuestas:
Por lo que describe, parece un ataque automatizado en su servidor. La mayoría de los ataques son, a menos que el atacante lo conozca personalmente y guarde rencor ...
De todos modos, es posible que desees buscar en denyhosts, que puedes obtener de los repositorios habituales. Puede analizar intentos repetidos y bloqueará su dirección IP. Aún puede obtener algo en sus registros, pero al menos ayudará a mitigar cualquier problema de seguridad.
En cuanto a obtener más información, realmente no me molestaría. A menos que sean aficionados, utilizarán un servidor remoto para hacer su trabajo sucio que no les dirá nada acerca de quiénes son realmente. Su mejor opción es encontrar el administrador para el rango de IP (WHOIS es su amigo aquí) y hacerles saber que está obteniendo muchos intentos de acceso de esa IP. Pueden ser lo suficientemente buenos como para hacer algo al respecto.
fuente
refused connect from....
, pero tengo curiosidad por saber si recibir estas solicitudes sin sentido cada 5 segundos podría ser un problema para el rendimiento del servidor más adelante. ¿Cómo sé si tengo acceso a un enrutador ascendente? Solo tengo acceso de rootPermitRootLogin no
yPasswordAuthentication no
en / etc / ssh / sshd_configNo desea ver estos intentos fallidos de inicio de sesión en sus registros, por lo que debe filtrar esta IP en la red.
Si tiene su propio enrutador o firewall de hardware (no el que está en el servidor), úselo para bloquear esta IP. También puede pedirle a su proveedor de internet que lo bloquee.
Si el servidor es VPS, solicite a su proveedor de VPS que bloquee esta IP. En la mayoría de los casos, no rechazarán su solicitud de ayuda, porque no les cuesta nada.
Los ataques desde una sola IP pueden mitigarse fácilmente en comparación con los ataques que provienen de muchas IP diferentes. Para protegerse contra ataques distribuidos, necesita un servicio especial del proveedor de la red que debe pagar. En el nivel del servidor puedes luchar con Denyhosts o Fail2ban. Fail2ban protege no solo ssh sino también otros servicios. Utiliza un poco más de memoria. Fail2ban usa iptables para bloquear IPs y DenyHosts usa el archivo hosts.deny, ambos usan registros para encontrar intentos maliciosos. También puede configurar iptables para intentos de ssh de limitación de velocidad que no dependen de registros.
fuente
Todas las buenas respuestas anteriores, sin embargo ...
Usted escribió "Estoy tratando de permitir que otra persona acceda a la máquina, pero siguen recibiendo errores de contraseña"
Como la mayoría de nosotros estamos en una IP dinámica con un tiempo de arrendamiento de DNS de proveedor limitado, la mayoría de nosotros usamos un servicio de DNS dinámico para acceder a nuestro servidor cuando estamos de viaje. ¿Podría ser que su usuario remoto también esté utilizando dicho servicio para comunicarse con usted y que esa es la dirección de IOP que está viendo?
Por cierto, muchos piratas informáticos "interceptan puertos" confían en que usted haga lo que hacen muchos usuarios del servidor doméstico, a saber, no cambian la identificación de inicio de sesión predeterminada del estado de entrega. (¡a menudo "admin"!) y simplemente activa todas las combinaciones posibles de la contraseña
fuente
denyhosts
que terminaré bloqueándome si mi IP cambia. Parece que mi fin de semana lo pasaré revisando esto [ askubuntu.com/questions/2271/how-to-harden-an-ssh-server] y los documentosCreo que encontrará que el 99% de los intentos de piratería provienen de China. Esto es lo que he encontrado. Es inútil informar una IP china por piratería, ya que probablemente esté sancionada por el estado. No bloqueo solo la IP, bloqueo el rango en el que se encuentra la IP. Use la opción "subred" en su enrutador o con IPTables en su caja Linux, use la subred o "/ bits" (por ejemplo: / 24). Esta página le dará una lista de bloqueos de IP por país (hay un archivo tar.gz con todos): http://www.ipdeny.com/ipblocks/data/countries . La página web de WHOIS https://whois-search.com/ le ofrece un buen comienzo para saber en qué país buscar.
fuente
1er. A menos que nunca necesite abrir puertos estándar a su servidor a la red. Configure el enrutador para abrir un puerto aleatorio como 53846 y reenvíelo al puerto 22 de esa máquina.
Los hackers de oportunidad pueden escanear una amplia gama de direcciones IP para puertos conocidos como 22 y tratar de explotar.
El segundo le devolvió el golpe. Hazle un mapa y descubre lo que está ejecutando. Luego intenta acceder a la suya. Justo como devolver el fuego. Si él sabe que estás con él, el dobladillo puede detenerse.
También puedes hacerle un ping como loco como un disparo de advertencia.
3 er. Si quieres divertirte, puedes abrir la cuenta de invitado. Asegúrese de que no haya privilegios en absoluto. Confínalo al directorio de inicio de invitados. Si quieres ponerte lindo, puedes configurar una estructura de directorio raíz falsa para correr. Establezca la contraseña como una contraseña común o sin contraseña. Permita que inicie sesión.
Luego puedes usar el comando de escritura y preguntarle por qué insiste en martillar tu servidor.
fuente