Кто-то пытается взломать мой сервер? Что я могу сделать?

Несколько недель назад я отправил вопрос здесь о некоторых ssh проблемы я имел с полем Ubuntu 12.04. Ускоренная перемотка вперед к сегодня и я пытаюсь предоставить кому-то еще доступ к машине, но они продолжают получать ошибки пароля. Я контроль var/logs/auth.log для большего количества информации, и найденный этим:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

У меня есть почти 10 000 строк, что все, кажется, говорят более или менее то же самое (существует также 4 auth.log.gz файла, которые я принимаю, больше того же?). Иногда существует случайное имя пользователя, присоединенное к запросу, input_userauth_request: invalid user bash [preauth]

Я не знаю много о серверах, но похоже, что кто-то пытается получить доступ к моему.

Погугленный вокруг для того, как заблокировать IP-адрес в Ubuntu и закончил с этим: iptables -A INPUT -s 211.110.xxx.x -j DROP, но после выполнения той команды и проверки журналов, я все еще получаю запросы от этого IP каждые 5 секунд.

Как я могу узнать больше о том, что продолжается и соглашение с этими постоянными запросами?

12
задан 11 May 2014 в 15:10

5 ответов

Из того, что Вы описываете, это похоже на автоматизированное нападение на Ваш сервер. Большинство нападений, если взломщик не знает Вас лично и держит недовольство...

Так или иначе, Вы могли бы хотеть изучить denyhosts, который можно получить от обычного repos. Это может проанализировать повторенные попытки и заблокирует их IP-адрес. Можно все еще получить что-то в журналах, но это, по крайней мере, поможет смягчить любые проблемы безопасности.

Что касается получения большей информации, я действительно не обеспокоился бы. Если они не будут любителем, они будут использовать удаленный сервер, чтобы сделать их грязную работу, которая ничего не скажет Вам о том, кто они действительно. Ваш лучший выбор состоит в том, чтобы найти администратора для диапазона IP (WHOIS является Вашим другом здесь), и позвольте им знать, что Вы получаете много попыток доступа от того IP. Они могут быть достаточно хорошими для делания с этим чего-то.

14
ответ дан 16 November 2019 в 14:28

Вы не хотите видеть этот неудавшийся вход в систему попытки в Ваших журналах, таким образом, необходимо отфильтровать этот IP в сети.

, Если у Вас есть собственный маршрутизатор или аппаратный брандмауэр (не тот на сервере) используют его для блокирования этого IP. Можно также попросить, чтобы интернет-провайдер заблокировал его.

, Если сервер является VPS тогда, просят, чтобы Ваш поставщик VPS заблокировал этот IP. В большинстве случаев они не отклонят Ваш запрос на справку, причина, это ничего не стоит им.

Нападения от единственного IP могут быть легко смягчены сравненные с нападением, происходящим от многих различный дюйм/с Для защиты от распределенного нападения, Вам нужна спецслужба из поставщика сетевых услуг, которого необходимо заплатить. На уровне сервера можно бороться с Denyhosts или Fail2ban. Fail2ban защищает не только ssh, но и другие сервисы. Это использует немного больше памяти. Fail2ban используют iptables для блокирования дюйм/с, и DenyHosts используют файл hosts.deny, оба журнала использования для нахождения злонамеренных попыток. Можно также настроить iptables для уровня, ограничивающего ssh попытки, который не полагается на журналы.

3
ответ дан 16 November 2019 в 14:28

Все хорошие ответы выше, однако...

Вы записали ", я пытаюсь предоставить кому-то еще доступ к машине, но они продолжают получать ошибки пароля"

, Как большинство из нас находится на динамическом IP с ограниченным временем владения DNS поставщика, большинство из нас использует динамическую службу DNS для доступа к нашему серверу когда на дороге. Могло случиться так, что Ваш удаленный пользователь также использует такой сервис добраться до Вас и что это - адрес IOP, который Вы видите?

BTW - много "порта, касающегося" хакеров, полагается на Вас выполнение, что многие домашние пользователи сервера делают, а именно, они не изменяют идентификатор для входа в систему состояния доставки по умолчанию. (часто "администратор"!!) и просто стреляют через все возможные комбинации пароля

0
ответ дан 16 November 2019 в 14:28

Я думаю, что Вы найдете, что 99% взламывания попыток прибывают из Китая. Это - то, что я нашел. Это - бесполезное создание отчетов о китайском IP для взламывания, как это - вероятно, санкционированное состояние. Я не блокирую просто IP, я блокирую диапазон, в котором находится IP. Используйте опцию "подсети" на своем маршрутизаторе или с IPTables на Вашем поле Linux, используйте подсеть или "/биты" (например:/24). Эта страница даст Вам список блоков IP страной (существует tar.gz файл со всеми): http://www.ipdeny.com/ipblocks/data/countries . Веб-страница WHOIS https://whois-search.com / дает Вам хорошее начало как который страна заглянуть.

0
ответ дан 16 November 2019 в 14:28

1st. Если Вы никогда не должны открывать стандартные порты для своего сервера к сети. Настройте маршрутизатор, чтобы открыть случайный порт как 53 846 и передать его тому порту машин 22.

хакеры Возможности могут просканировать широкий спектр IP-адреса для известных портов как 22 и использование tryto.

2-й хит его назад. Nmap его и узнают то, что он выполняет. Тогда попытайтесь получить доступ к его. Так же, как ответный огонь. Если он знает, что Вы идете ему, кромка может остановиться.

Вы могли также проверить с помощью ping-запросов его как сумасшедший как предупредительный выстрел.

3-й. Ifn Вы хотите иметь некоторую забаву, Вы canopen гостевая учетная запись. Удостоверьтесь, что нет никаких privliges вообще. Ограничьте его гостевым корневым каталогом. Если Вы wwant для получения милыми можно настроить поддельную структуру корневого каталога для выполнения вокруг. Установите пароль как общий, или никакие password.let его не входят в систему.

Тогда можно использовать команду записи и спросить его, почему он настаивает на том, чтобы ковать Ваш разъединять.

-1
ответ дан 16 November 2019 в 14:28

Другие вопросы по тегам:

Похожие вопросы: