Il y a quelques semaines, j'ai posté ici une question sur certains ssh
problèmes que j'avais avec une boîte Ubuntu 12.04. Avance rapide jusqu'à aujourd'hui et j'essaie d'autoriser quelqu'un d'autre à accéder à la machine, mais ils continuent de recevoir des erreurs de mot de passe. Je vérifie var/logs/auth.log
pour plus d'informations et trouve ceci:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
J'ai près de 10000 lignes qui semblent toutes dire plus ou moins la même chose (il y a aussi 4 fichiers auth.log.gz, qui je suppose sont plus ou moins les mêmes?). Parfois, un nom d'utilisateur aléatoire est associé à la demande,input_userauth_request: invalid user bash [preauth]
Je ne connais pas grand-chose aux serveurs, mais il semble que quelqu'un essaie d'accéder au mien.
Googlé pour savoir comment bloquer une adresse IP dans Ubuntu et a fini avec ceci:, iptables -A INPUT -s 211.110.xxx.x -j DROP
mais après avoir exécuté cette commande et vérifié les journaux, je reçois toujours des demandes de cette adresse IP toutes les 5 secondes.
Comment puis-je en savoir plus sur ce qui se passe et faire face à ces demandes constantes?
Réponses:
D'après ce que vous décrivez, cela ressemble à une attaque automatisée sur votre serveur. La plupart des attaques le sont, sauf si l'attaquant vous connaît personnellement et garde rancune ...
Quoi qu'il en soit, vous voudrez peut-être examiner les denyhosts, que vous pouvez obtenir à partir des dépôts habituels. Il peut analyser les tentatives répétées et bloquera leur adresse IP. Vous pouvez toujours trouver quelque chose dans vos journaux, mais cela permettra au moins d'atténuer les problèmes de sécurité.
Quant à obtenir plus d'informations, je ne me dérangerais vraiment pas. À moins qu'ils ne soient amateurs, ils utiliseront un serveur distant pour faire leur sale boulot qui ne vous dira rien de qui ils sont vraiment. Votre meilleur pari est de trouver l'administrateur de la plage IP (WHOIS est votre ami ici) et de leur faire savoir que vous obtenez beaucoup de tentatives d'accès à partir de cette IP. Ils peuvent être assez bons pour y remédier.
la source
refused connect from....
, mais je suis curieux de savoir que l'obtention de ces requêtes non-sens toutes les 5 secondes pourrait être un problème pour les performances du serveur plus tard? Comment savoir si j'ai accès à un routeur en amont? Je viens d'avoir un accès rootPermitRootLogin no
etPasswordAuthentication no
dans / etc / ssh / sshd_configVous ne voulez pas voir ces tentatives de connexion échouées dans vos journaux, vous devez donc filtrer cette IP dans le réseau.
Si vous avez votre propre routeur ou pare-feu matériel (pas celui du serveur), utilisez-le pour bloquer cette IP. Vous pouvez également demander à votre fournisseur d'accès Internet de le bloquer.
Si le serveur est VPS, demandez à votre fournisseur VPS de bloquer cette IP. Dans la plupart des cas, ils ne rejetteront pas votre demande d'aide, car cela ne leur coûtera rien.
Les attaques provenant d'une seule adresse IP peuvent être facilement atténuées par rapport aux attaques provenant de nombreuses adresses IP différentes. Pour vous protéger contre les attaques distribuées, vous avez besoin d'un service spécial du fournisseur de réseau que vous devez payer. Au niveau du serveur, vous pouvez vous battre avec Denyhosts ou Fail2ban. Fail2ban protège non seulement ssh mais d'autres services. Il utilise un peu plus de mémoire. Fail2ban utilise iptables pour bloquer les adresses IP et DenyHosts utilise le fichier hosts.deny, les deux utilisent des journaux pour trouver des tentatives malveillantes. Vous pouvez également configurer iptables pour les tentatives ssh de limitation de débit qui ne dépendent pas des journaux.
la source
Toutes les bonnes réponses ci-dessus, cependant ...
Vous avez écrit "J'essaie d'autoriser quelqu'un d'autre à accéder à la machine, mais il continue de recevoir des erreurs de mot de passe"
Comme la plupart d'entre nous sont sur une IP dynamique avec un temps de location DNS fournisseur limité, la plupart d'entre nous utilisent un service DNS dynamique pour accéder à notre serveur lorsque vous êtes en déplacement. Se pourrait-il que votre utilisateur distant utilise également un tel service pour vous contacter et que c'est l'adresse IOP que vous voyez?
BTW - un grand nombre de pirates de «port tapping» comptent sur vous pour faire ce que font de nombreux utilisateurs de serveurs domestiques, à savoir, ils ne modifient pas l'identifiant de connexion de l'état de livraison par défaut. (souvent "admin" !!) et lancez simplement toutes les combinaisons possibles du mot de passe
la source
denyhosts
de finir par me bloquer si / quand mon IP change. On dirait que mon week-end sera consacré à ce [ askubuntu.com/questions/2271/how-to-harden-an-ssh-server] et aux docsJe pense que vous constaterez que 99% des tentatives de piratage proviennent de Chine. Voilà ce que j'ai trouvé. Il est inutile de signaler une adresse IP chinoise pour piratage, car il est probablement sanctionné par l'État. Je ne bloque pas seulement l'IP, je bloque la plage dans laquelle se trouve l'IP. Utilisez l'option "sous-réseau" sur votre routeur ou avec IPTables sur votre boîtier Linux, utilisez le sous-réseau ou "/ bits" (par exemple: / 24). Cette page vous donnera une liste des blocs IP par pays (il y a un fichier tar.gz avec tous): http://www.ipdeny.com/ipblocks/data/countries . La page Web WHOIS https://whois-search.com/ vous donne un bon départ dans quel pays chercher.
la source
1er. Sauf si vous ne devez jamais ouvrir de ports standard vers votre serveur sur le net. Configurez le routeur pour ouvrir un port aléatoire comme 53846 et transférez-le au port 22 de cette machine.
Les pirates d'opportunité peuvent analyser une large gamme d'adresses IP pour les ports connus comme 22 et essayer d'exploiter.
2e l'a frappé en arrière. Nmap lui et découvrez ce qu'il court. Essayez ensuite d'accéder au sien. Tout comme le feu de retour. S'il sait que vous êtes sur lui, l'ourlet peut s'arrêter.
Vous pouvez également le cingler comme un fou comme un coup de semonce.
3 e. Si vous voulez vous amuser, vous pouvez ouvrir le compte invité. Assurez-vous qu'il n'y a aucun privilège. Limitez-le au répertoire personnel des invités. Si vous voulez devenir mignon, vous pouvez configurer une fausse structure de répertoire racine pour une course. Définissez le mot de passe comme un mot de passe commun ou sans mot de passe.
Ensuite, vous pouvez utiliser la commande d'écriture et lui demander pourquoi il insiste pour marteler votre serveur.
la source