Кто-то пытается взломать мой сервер? Что я могу сделать?
Проверьте журналы выскочек (в /var/log/syslog), перезагружая конфигурацию с помощью initctl reload-configuration. Если есть синтаксическая ошибка, она появится там. Обычно вы не можете использовать новую конфигурацию выскочки.
3 ответа
Вы не хотите видеть эти неудачные попытки входа в ваши журналы, поэтому вы должны отфильтровать этот IP-адрес в сети.
Если у вас есть собственный маршрутизатор или аппаратный брандмауэр (а не тот, что на сервере), используйте его для блокировки этого IP-адреса. Вы также можете попросить своего интернет-провайдера заблокировать его.
Если сервер VPS, попросите своего поставщика VPS заблокировать этот IP-адрес. В большинстве случаев они не будут отклонять ваш запрос на помощь, потому что это ничего не стоит.
Атаки с одного IP-адреса могут быть легко смягчены по сравнению с атакой, исходящей из разных IP-адресов. Для защиты от распределенной атаки вам нужна специальная услуга от сетевого провайдера, которую вы должны заплатить. На уровне сервера вы можете сражаться с Denyhosts или Fail2ban. Fail2ban защищает не только ssh, но и другие сервисы. Он использует немного больше памяти. Fail2ban использует iptables для блокировки IP-адресов и DenyHosts, используя файл hosts.deny, оба используют журналы, чтобы найти вредоносные попытки. Вы также можете настроить iptables для попыток ssh ограничения скорости, которые не зависят от журналов.
-
1Есть ли способ остановить запись с этого IP-адреса внутри моей машины? – user2936314 12 May 2014 в 17:25
-
2Неплохо фильтровать ваши журналы. Вы никогда не знаете, им может повезти, и вам понадобится полная письменная история о том, что произошло. – Drac Noc 12 May 2014 в 21:32
-
3@ user2936314 Не очень хорошая идея, лучше изменить порт ssh. Изменение порта - не идеальное решение, но вы избавитесь от многих ботов. Некоторые из них более интеллектуальны и просматривают открытые порты. У меня была та же проблема, и fail2ban блокировал 20 IP-адресов в день. После изменения порта ssh я наблюдаю значительное снижение вредоносных попыток ssh – vladiz 13 May 2014 в 11:36
-
4Вы, ребята, потрясающие. Рекомендуемое чтение для введения администратору сервера ubuntu? Я читаю интерфейс программирования Linux, но это не выглядит так, – user2936314 13 May 2014 в 13:42
-
5@ user2936314 Проверьте официальную документацию , руководство сервера для Ubuntu 12.04 или какую бы версию вам ни понадобилось. – vladiz 13 May 2014 в 15:10
Все хорошие ответы выше, однако ...
Вы написали: «Я пытаюсь разрешить кому-то доступ к машине, но они продолжают получать ошибки в пароле»
из нас находятся на динамическом IP с ограниченным сроком аренды DNS поставщика, большинство из нас использует динамическую службу DNS для доступа к нашему серверу в дороге. Может быть, ваш удаленный пользователь также использует такую услугу, чтобы добраться до вас, и что это адрес IOP, который вы видите?
BTW - многие из «хакеров», использующих порт, полагаются на то, что вы делаете то, что многие пользователи домашнего сервера, а именно, они не меняют идентификатор входа в состояние доставки по умолчанию. (часто «admin» !!) и просто запускайте все возможные комбинации пароля
-
1Я подумал об этом случае, когда впервые увидел журналы. Я проверил с человеком, которого я знаю, пытался получить доступ к машине, и его IP-адрес не соответствовал таковому в журналах. Я знаю, что он также не пытался попасть каждые 5 секунд в течение нескольких дней. Хорошая точка в динамических ips, хотя, я немного обеспокоен использованием denyhosts, что я собираюсь закончить себя, если / когда мой IP-адрес изменится. Похоже, что мои выходные пройдут через этот [ askubuntu.com/questions/2271/how-to-harden-an-ssh-server] и документы – user2936314 14 May 2014 в 03:08
Хранение возможностей может сканировать широкий диапазон IP-адресов для известных портов, таких как 22, и попробовать использовать.
Второй ударил его назад. Nmap его и узнать, что он работает. Затем попытайтесь получить доступ к нему. Так же, как возвратный огонь. Если он знает, что вы на него, то подол может остановиться.
Вы также можете пинговать его как сумасшедший, как предупреждение.
3 rd. Если вы хотите повеселиться, вы можете открыть гостевой аккаунт. Удостоверьтесь, что нет никаких личных привилегий. Ограничьте его в домашнем каталоге гостей. Если вы хотите получить милый, вы можете настроить фальшивую структуру корневого каталога для запуска. Установите пароль как обычный или нет пароля. Войдите в него.
Затем вы можете использовать команду записи и спросить его, почему он настаивает на том, чтобы стучать вашим раем.
-
1(1) просто скрывает маршруты доступа, но не защищает их. (2) является незаконным в большинстве юрисдикций. (3) является рискованным, поскольку происходит некорректная конфигурация, и уязвимости эскалации привилегий могут существовать и, вероятно, бессмысленны, поскольку большинство атак автоматизировано для работы на диапазонах IP-адресов, как вы указываете сами. – David Foerster 21 November 2014 в 02:43