Вопросы Теги

подозрительная попытка ip-подключения к серверу

Я получаю сообщение suspicious ip [x.x.x.x] attempt to connect server Какие действия я должен предпринять для этой проблемы? Зараженный сервер является сервером Ubuntu 14.04 и имеет ufw и общедоступный IP.

ufw log:

Nov 3 12:12:55 kernel: [358619.800870] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=37.139.191.161 DST=10.0.0.12 LEN=44 TOS=0x00 PREC=0x00 TTL=44 ID=8329 PROTO=TCP SPT=43730 DPT=23 WINDOW=23100 RES=0x00 SYN URGP=0 Nov 3 12:14:08 kernel: [358692.822316] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=122.114.182.64 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=233 ID=48132 PROTO=TCP SPT=54910 DPT=1433 WINDOW=1024 RES=0x00 SYN URGP=0 Nov 3 12:14:11 kernel: [358696.027769] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=89.248.172.16 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=52590 PROTO=TCP SPT=46640 DPT=8009 WINDOW=62657 RES=0x00 SYN URGP=0 Nov 3 12:14:43 kernel: [358727.590448] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=123.249.3.172 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=107 ID=256 PROTO=TCP SPT=37365 DPT=8080 WINDOW=16384 RES=0x00 SYN URGP=0 Nov 3 12:14:45 kernel: [358729.683181] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=218.29.142.44 DST=10.0.0.12 LEN=44 TOS=0x00 PREC=0x00 TTL=234 ID=44905 PROTO=TCP SPT=50889 DPT=1433 WINDOW=1024 RES=0x00 SYN URGP=0 Nov 3 12:16:01 kernel: [358806.142162] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=176.109.226.160 DST=10.0.0.12 LEN=44 TOS=0x00 PREC=0x00 TTL=47 ID=8329 PROTO=TCP SPT=43730 DPT=23 WINDOW=23100 RES=0x00 SYN URGP=0 Nov 3 12:16:24 kernel: [358829.214991] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=212.142.159.191 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=35874 PROTO=TCP SPT=13461 DPT=23 WINDOW=9861 RES=0x00 SYN URGP=0 Nov 3 12:17:16 kernel: [358881.046988] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=45.55.29.228 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=238 ID=54321 PROTO=TCP SPT=57539 DPT=3306 WINDOW=65535 RES=0x00 SYN URGP=0

auth.log

/ var / log $ tailf auth.log

Nov 3 12:47:55 sshd[10102]: Failed password for root from 58.218.198.146 port 50077 ssh2 Nov 3 12:48:00 sshd[10102]: message repeated 2 times: [ Failed password for root from 58.218.198.146 port 50077 ssh2] Nov 3 12:48:01 sshd[10102]: Received disconnect from 58.218.198.146: 11: [preauth] Nov 3 12:48:01 sshd[10102]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146 user=root Nov 3 12:48:17 sshd[10104]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146 user=root Nov 3 12:48:19 sshd[10104]: Failed password for root from 58.218.198.146 port 27919 ssh2 Nov 3 12:48:24 sshd[10104]: message repeated 2 times: [ Failed password for root from 58.218.198.146 port 27919 ssh2] Nov 3 12:48:24 sshd[10104]: Received disconnect from 58.218.198.146: 11: [preauth] Nov 3 12:48:24 sshd[10104]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146 user=root Nov 3 12:48:37 sshd[10108]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146 user=root Nov 3 12:48:39 sshd[10108]: Failed password for root from 58.218.198.146 port 43229 ssh2 Nov 3 12:48:43 sshd[10108]: message repeated 2 times: [ Failed password for root from 58.218.198.146 port 43229 ssh2] Nov 3 12:48:43 sshd[10108]: Received disconnect from 58.218.198.146: 11: [preauth] Nov 3 12:48:43 sshd[10108]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146 user=root
0
задан 3 November 2017 в 11:24

3 ответа

Это автоматические попытки взломать ваш ssh-сервер и очень распространены.

IMO самые важные действия для вас:

Разрешать только ssh с помощью ключей, отключить пароли. Не разрешайте root входить в систему.

Вам не нужно устанавливать какие-либо дополнительные службы, вы можете позаботиться об этой проблеме с помощью iptables.

Сначала установите iptables-persistent 

sudo apt-get install iptables-persistent

, затем 

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource

sudo iptables -A INPUT -m recent --update --rchedk --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j --reject-with icmp-host-prohibited 

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

"- hit count" - количество новых подключений. Имейте в виду, что каждое новое соединение дает несколько возможностей для ввода пароля. Если вы используете scp, используйте более высокий hitcount, так как каждый файл будет новым сеансом ssh.

"- seconds" Как долго ipaddress будет занесен в черный список. 10 минут, как правило, достаточны для того, чтобы сдержать большинство «сценаристов».

Дополнительную информацию / предложения см. По адресу http://bodhizazen.com/Tutorials/SSH_security

1
ответ дан 22 May 2018 в 16:51
  • 1
    За последние пару лет я заметил: 10 минут уже недостаточно, часто они продолжают возвращаться через час или час; Часто (в частности, в Китае) они просто переключаются на другой IP-адрес источника в той же подсети и продолжают. Таким образом, я использую 1 день запрета времени и произвольную, но довольно большую маску подсети для таблицы адресов. – Doug Smythies 3 November 2017 в 18:31
  • 2
    @DougSmythies Хорошая точка. Они не попадают на мой ssh-сервер со своими скриптами, я grep журналы и добавляю имена пользователей, которые они используют для запрета. – Panther 3 November 2017 в 21:07

Это автоматические попытки взломать ваш ssh-сервер и очень распространены.

IMO самые важные действия для вас:

Разрешать только ssh с помощью ключей, отключить пароли. Не разрешайте root входить в систему.

Вам не нужно устанавливать какие-либо дополнительные службы, вы можете позаботиться об этой проблеме с помощью iptables.

Сначала установите iptables-persistent

sudo apt-get install iptables-persistent

, затем

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource sudo iptables -A INPUT -m recent --update --rchedk --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j --reject-with icmp-host-prohibited sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

"- hit count" - количество новых подключений. Имейте в виду, что каждое новое соединение дает несколько возможностей для ввода пароля. Если вы используете scp, используйте более высокий hitcount, так как каждый файл будет новым сеансом ssh.

"- seconds" Как долго ipaddress будет занесен в черный список. 10 минут, как правило, достаточны для того, чтобы сдержать большинство «сценаристов».

Дополнительную информацию / предложения см. По адресу http://bodhizazen.com/Tutorials/SSH_security

1
ответ дан 18 July 2018 в 04:00

Это автоматические попытки взломать ваш ssh-сервер и очень распространены.

IMO самые важные действия для вас:

Разрешать только ssh с помощью ключей, отключить пароли. Не разрешайте root входить в систему.

Вам не нужно устанавливать какие-либо дополнительные службы, вы можете позаботиться об этой проблеме с помощью iptables.

Сначала установите iptables-persistent

sudo apt-get install iptables-persistent

, затем

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource sudo iptables -A INPUT -m recent --update --rchedk --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j --reject-with icmp-host-prohibited sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

"- hit count" - количество новых подключений. Имейте в виду, что каждое новое соединение дает несколько возможностей для ввода пароля. Если вы используете scp, используйте более высокий hitcount, так как каждый файл будет новым сеансом ssh.

"- seconds" Как долго ipaddress будет занесен в черный список. 10 минут, как правило, достаточны для того, чтобы сдержать большинство «сценаристов».

Дополнительную информацию / предложения см. По адресу http://bodhizazen.com/Tutorials/SSH_security

1
ответ дан 24 July 2018 в 17:58

Другие вопросы по тегам:

Похожие вопросы: