Est-ce que quelqu'un essaie de pirater mon serveur? Que puis-je faire?

12

Il y a quelques semaines, j'ai posté ici une question sur certains sshproblèmes que j'avais avec une boîte Ubuntu 12.04. Avance rapide jusqu'à aujourd'hui et j'essaie d'autoriser quelqu'un d'autre à accéder à la machine, mais ils continuent de recevoir des erreurs de mot de passe. Je vérifie var/logs/auth.logpour plus d'informations et trouve ceci:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

J'ai près de 10000 lignes qui semblent toutes dire plus ou moins la même chose (il y a aussi 4 fichiers auth.log.gz, qui je suppose sont plus ou moins les mêmes?). Parfois, un nom d'utilisateur aléatoire est associé à la demande,input_userauth_request: invalid user bash [preauth]

Je ne connais pas grand-chose aux serveurs, mais il semble que quelqu'un essaie d'accéder au mien.

Googlé pour savoir comment bloquer une adresse IP dans Ubuntu et a fini avec ceci:, iptables -A INPUT -s 211.110.xxx.x -j DROPmais après avoir exécuté cette commande et vérifié les journaux, je reçois toujours des demandes de cette adresse IP toutes les 5 secondes.

Comment puis-je en savoir plus sur ce qui se passe et faire face à ces demandes constantes?

server ssh iptables user2936314
la source
Denyhosts est génial mais notez qu'il s'agit d'un projet mort :( vous devriez envisager d'utiliser iptables askubuntu.com/questions/433924/…
amc

Réponses:

14

D'après ce que vous décrivez, cela ressemble à une attaque automatisée sur votre serveur. La plupart des attaques le sont, sauf si l'attaquant vous connaît personnellement et garde rancune ...

Quoi qu'il en soit, vous voudrez peut-être examiner les denyhosts, que vous pouvez obtenir à partir des dépôts habituels. Il peut analyser les tentatives répétées et bloquera leur adresse IP. Vous pouvez toujours trouver quelque chose dans vos journaux, mais cela permettra au moins d'atténuer les problèmes de sécurité.

Quant à obtenir plus d'informations, je ne me dérangerais vraiment pas. À moins qu'ils ne soient amateurs, ils utiliseront un serveur distant pour faire leur sale boulot qui ne vous dira rien de qui ils sont vraiment. Votre meilleur pari est de trouver l'administrateur de la plage IP (WHOIS est votre ami ici) et de leur faire savoir que vous obtenez beaucoup de tentatives d'accès à partir de cette IP. Ils peuvent être assez bons pour y remédier.

Drac Noc
la source
3
+1. Vous avez ouvert un port à Internet extérieur: les gens tentent d'accéder, mais échouent. C'est plus ou moins comme d'habitude. Si vous avez accès à un routeur en amont, vous pouvez le configurer pour supprimer les connexions de 211.110.xxx.x afin que vos propres fichiers journaux ne soient pas si pollués.
Jos
J'ai ajouté denyhosts et maintenant les journaux s'affichent refused connect from...., mais je suis curieux de savoir que l'obtention de ces requêtes non-sens toutes les 5 secondes pourrait être un problème pour les performances du serveur plus tard? Comment savoir si j'ai accès à un routeur en amont? Je viens d'avoir un accès root
user2936314
2
Par routeur en amont, je veux dire un routeur passerelle dans votre propre réseau domestique ou d'entreprise que vous administrez. Si vous ne le savez pas, vous n'y avez probablement pas accès. La suppression de paquets n'est guère un porc de performance.
Jos
2
L'obtention d'une demande d'une adresse IP toutes les 5 secondes n'affectera pas vos performances de manière significative.
Drac Noc
3
Pour les serveurs qui sont exposés au net (enfin, pour tous les serveurs ssh vraiment), vous devez définir PermitRootLogin noet PasswordAuthentication nodans / etc / ssh / sshd_config
unhammer
3

Vous ne voulez pas voir ces tentatives de connexion échouées dans vos journaux, vous devez donc filtrer cette IP dans le réseau.

Si vous avez votre propre routeur ou pare-feu matériel (pas celui du serveur), utilisez-le pour bloquer cette IP. Vous pouvez également demander à votre fournisseur d'accès Internet de le bloquer.

Si le serveur est VPS, demandez à votre fournisseur VPS de bloquer cette IP. Dans la plupart des cas, ils ne rejetteront pas votre demande d'aide, car cela ne leur coûtera rien.

Les attaques provenant d'une seule adresse IP peuvent être facilement atténuées par rapport aux attaques provenant de nombreuses adresses IP différentes. Pour vous protéger contre les attaques distribuées, vous avez besoin d'un service spécial du fournisseur de réseau que vous devez payer. Au niveau du serveur, vous pouvez vous battre avec Denyhosts ou Fail2ban. Fail2ban protège non seulement ssh mais d'autres services. Il utilise un peu plus de mémoire. Fail2ban utilise iptables pour bloquer les adresses IP et DenyHosts utilise le fichier hosts.deny, les deux utilisent des journaux pour trouver des tentatives malveillantes. Vous pouvez également configurer iptables pour les tentatives ssh de limitation de débit qui ne dépendent pas des journaux.

Vladiz
la source
Existe-t-il un moyen d'arrêter la journalisation à partir de cette IP depuis ma machine?
user2936314
Ce n'est pas une bonne idée de filtrer vos journaux. Vous ne savez jamais, ils pourraient avoir de la chance et vous voudrez une histoire écrite complète de ce qui s'est passé.
Drac Noc
@ user2936314 Pas vraiment une bonne idée, il vaut mieux changer le port ssh. Changer le port n'est pas la solution parfaite, mais vous vous débarrasserez de nombreux bots. Certains d'entre eux sont plus intelligents et recherchent les ports ouverts. J'ai eu le même problème et fail2ban bloquait 20 adresses IP par jour. Après avoir changé le port ssh, j'observe une diminution significative des tentatives malveillantes de ssh
vladiz
Vous êtes tous géniaux. Lecture recommandée pour l'introduction à l'administrateur du serveur Ubuntu? Je lis l'interface de programmation Linux, mais il ne semble pas que ce genre de choses soit couvert
user2936314
1
@ user2936314 Consultez la documentation officielle , le guide du serveur pour Ubuntu 12.04 ou la version dont vous avez besoin.
vladiz
0

Toutes les bonnes réponses ci-dessus, cependant ...

Vous avez écrit "J'essaie d'autoriser quelqu'un d'autre à accéder à la machine, mais il continue de recevoir des erreurs de mot de passe"

Comme la plupart d'entre nous sont sur une IP dynamique avec un temps de location DNS fournisseur limité, la plupart d'entre nous utilisent un service DNS dynamique pour accéder à notre serveur lorsque vous êtes en déplacement. Se pourrait-il que votre utilisateur distant utilise également un tel service pour vous contacter et que c'est l'adresse IOP que vous voyez?

BTW - un grand nombre de pirates de «port tapping» comptent sur vous pour faire ce que font de nombreux utilisateurs de serveurs domestiques, à savoir, ils ne modifient pas l'identifiant de connexion de l'état de livraison par défaut. (souvent "admin" !!) et lancez simplement toutes les combinaisons possibles du mot de passe

David Walker
la source
J'ai pensé à ce cas lorsque j'ai remarqué les journaux pour la première fois. J'ai vérifié auprès de la personne que je connaissais essayait d'accéder à la machine et son IP ne correspondait pas à celle dans les journaux. Je sais qu'il n'a pas non plus essayé d'entrer toutes les 5 secondes depuis des jours. Bon point sur les ips dynamiques cependant, je suis un peu inquiet à l'idée denyhostsde finir par me bloquer si / quand mon IP change. On dirait que mon week-end sera consacré à ce [ askubuntu.com/questions/2271/how-to-harden-an-ssh-server] et aux docs
user2936314
0

Je pense que vous constaterez que 99% des tentatives de piratage proviennent de Chine. Voilà ce que j'ai trouvé. Il est inutile de signaler une adresse IP chinoise pour piratage, car il est probablement sanctionné par l'État. Je ne bloque pas seulement l'IP, je bloque la plage dans laquelle se trouve l'IP. Utilisez l'option "sous-réseau" sur votre routeur ou avec IPTables sur votre boîtier Linux, utilisez le sous-réseau ou "/ bits" (par exemple: / 24). Cette page vous donnera une liste des blocs IP par pays (il y a un fichier tar.gz avec tous): http://www.ipdeny.com/ipblocks/data/countries . La page Web WHOIS https://whois-search.com/ vous donne un bon départ dans quel pays chercher.

Wazza65
la source
-1

1er. Sauf si vous ne devez jamais ouvrir de ports standard vers votre serveur sur le net. Configurez le routeur pour ouvrir un port aléatoire comme 53846 et transférez-le au port 22 de cette machine.

Les pirates d'opportunité peuvent analyser une large gamme d'adresses IP pour les ports connus comme 22 et essayer d'exploiter.

2e l'a frappé en arrière. Nmap lui et découvrez ce qu'il court. Essayez ensuite d'accéder au sien. Tout comme le feu de retour. S'il sait que vous êtes sur lui, l'ourlet peut s'arrêter.

Vous pouvez également le cingler comme un fou comme un coup de semonce.

3 e. Si vous voulez vous amuser, vous pouvez ouvrir le compte invité. Assurez-vous qu'il n'y a aucun privilège. Limitez-le au répertoire personnel des invités. Si vous voulez devenir mignon, vous pouvez configurer une fausse structure de répertoire racine pour une course. Définissez le mot de passe comme un mot de passe commun ou sans mot de passe.

Ensuite, vous pouvez utiliser la commande d'écriture et lui demander pourquoi il insiste pour marteler votre serveur.

Don
la source
(1) masque simplement les voies d'accès, mais ne les sécurise pas. (2) est illégal dans la plupart des juridictions. (3) est risqué, car une mauvaise configuration se produit et des vulnérabilités d'escalade de privilèges peuvent exister, et probablement inutiles, car la plupart des attaques sont automatisées pour s'exécuter sur des plages d'adresses IP, comme vous le faites remarquer vous-même.
David Foerster