Кто-то пытается взломать мой сервер?

Question 1

Таким образом, я ввел journalctl после ssh (луг) в сервер и получил следующий вывод: (таким образом, кто-то пытается взломать систему или является ею с моей стороны?) (Также отмечают, синхронизация говорит 5:00? но скорее всего ни один из нас не вхожу в систему в систему в то время? так это что-то от апача/человечности?)

Apr 30 05:38:59 bosc-chat sshd[13590]: Failed password for root from 218.92.0.133 port 52094 ssh2
Apr 30 05:38:56 bosc-chat sshd[13592]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.242.82.12  user=root
Apr 30 05:38:55 bosc-chat sshd[13590]: Failed password for root from 218.92.0.133 port 52094 ssh2
Apr 30 05:38:54 bosc-chat sshd[13590]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.92.0.133  user=root
Apr 30 05:38:53 bosc-chat sshd[13566]: PAM service(sshd) ignoring max retries; 6 > 3
Apr 30 05:38:53 bosc-chat sshd[13566]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.242.82.12  user=root
Apr 30 05:38:53 bosc-chat sshd[13566]: Disconnecting authenticating user root 58.242.82.12 port 58191: Too many authentication failures [preauth]
Apr 30 05:38:53 bosc-chat sshd[13566]: error: maximum authentication attempts exceeded for root from 58.242.82.12 port 58191 ssh2 [preauth]
Apr 30 05:38:53 bosc-chat sshd[13566]: Failed password for root from 58.242.82.12 port 58191 ssh2
Apr 30 05:38:50 bosc-chat sshd[13558]: PAM service(sshd) ignoring max retries; 6 > 3
Apr 30 05:38:50 bosc-chat sshd[13558]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.92.0.133  user=root
Apr 30 05:38:50 bosc-chat sshd[13558]: Disconnecting authenticating user root 218.92.0.133 port 24314: Too many authentication failures [preauth]
Apr 30 05:38:50 bosc-chat sshd[13558]: error: maximum authentication attempts exceeded for root from 218.92.0.133 port 24314 ssh2 [preauth]
Apr 30 05:38:50 bosc-chat sshd[13558]: Failed password for root from 218.92.0.133 port 24314 ssh2
Apr 30 05:38:50 bosc-chat sshd[13566]: Failed password for root from 58.242.82.12 port 58191 ssh2
Apr 30 05:38:47 bosc-chat sshd[13558]: Failed password for root from 218.92.0.133 port 24314 ssh2
Apr 30 05:38:47 bosc-chat sshd[13566]: Failed password for root from 58.242.82.12 port 58191 ssh2
Apr 30 05:38:45 bosc-chat sshd[13566]: Failed password for root from 58.242.82.12 port 58191 ssh2
Apr 30 05:38:44 bosc-chat sshd[13558]: Failed password for root from 218.92.0.133 port 24314 ssh2
Apr 30 05:38:42 bosc-chat sshd[13560]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.92.0.207  user=root
Apr 30 05:38:42 bosc-chat sshd[13560]: Disconnected from authenticating user root 218.92.0.207 port 40772 [preauth]
Apr 30 05:38:42 bosc-chat sshd[13560]: Received disconnect from 218.92.0.207 port 40772:11:  [preauth]
Apr 30 05:38:42 bosc-chat sshd[13566]: Failed password for root from 58.242.82.12 port 58191 ssh2
Apr 30 05:38:42 bosc-chat sshd[13560]: Failed password for root from 218.92.0.207 port 40772 ssh2
Apr 30 05:38:41 bosc-chat sshd[13558]: Failed password for root from 218.92.0.133 port 24314 ssh2
Apr 30 05:38:40 bosc-chat sshd[13560]: Failed password for root from 218.92.0.207 port 40772 ssh2
Apr 30 05:38:40 bosc-chat sshd[13566]: Failed password for root from 58.242.82.12 port 58191 ssh2
Apr 30 05:38:38 bosc-chat sshd[13560]: Failed password for root from 218.92.0.207 port 40772 ssh2
Apr 30 05:38:38 bosc-chat sshd[13566]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost

Если кто-то действительно пытается взломать, затем там что-то, что я могу делать с этим?

Большое спасибо!

Question 2

Да, кто-то активно пытается угадать ваш пароль root.

Некоторые шаги, которые вы можете сделать, чтобы уменьшить вероятность того, что вас взломают:

Убедитесь, что ваш пароль root длинный и уникальный.
Убедитесь, что все приложения и службы вашего сервера обновлены до текущей версии и регулярно обновляются.
Установите систему предотвращения вторжений. Fail2Ban очень хорош, он блокирует попытки IP после X числа неудачных попыток входа в систему.
Уменьшите количество IP-адресов, которые могут подключаться к вашему SSH-серверу на вашем брандмауэре, к вашей стране / региону и, если возможно, провайдеру. Например, если вы живете в США, вы не собираетесь входить на свой сервер из России или Китая.
Скрыть IP-адрес вашего сервера за прокси-сервисом. Cloudflare - отличный поставщик для этого, и у него есть бесплатные планы.
Установите оповещение по электронной почте, чтобы уведомлять вас, когда кто-то входит на сервер.

Я уверен, что есть и другие вещи, которые вы можете сделать, чтобы укрепить свой сервер, но это будет хорошим началом.

Luis Alberto Barandiaran · Answer 1 · 30 April 2019 в 18:31

Да, кто-то активно пытается угадать ваш пароль root.

Некоторые шаги, которые вы можете сделать, чтобы уменьшить вероятность того, что вас взломают:

Убедитесь, что ваш пароль root длинный и уникальный.
Убедитесь, что все приложения и службы вашего сервера обновлены до текущей версии и регулярно обновляются.
Установите систему предотвращения вторжений. Fail2Ban очень хорош, он блокирует попытки IP после X числа неудачных попыток входа в систему.
Уменьшите количество IP-адресов, которые могут подключаться к вашему SSH-серверу на вашем брандмауэре, к вашей стране / региону и, если возможно, провайдеру. Например, если вы живете в США, вы не собираетесь входить на свой сервер из России или Китая.
Скрыть IP-адрес вашего сервера за прокси-сервисом. Cloudflare - отличный поставщик для этого, и у него есть бесплатные планы.
Установите оповещение по электронной почте, чтобы уведомлять вас, когда кто-то входит на сервер.

Я уверен, что есть и другие вещи, которые вы можете сделать, чтобы укрепить свой сервер, но это будет хорошим началом.

Кто-то пытается взломать мой сервер?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: