Хтось намагається зламати мій сервер? Що я можу зробити?

Кілька тижнів тому я розмістив тут питання про деякі sshпроблеми, які виникли у вікні Ubuntu 12.04. Швидкий перехід до сьогодні, і я намагаюся надати комусь іншому доступ до машини, але вони постійно отримують помилки пароля. Я отримав перевірку var/logs/auth.logдля отримання додаткової інформації та виявив це:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

У мене майже 10000 рядків, які, схоже, говорять про більш-менш одне і те ж (є також 4 файли auth.log.gz, які, я вважаю, є більш однаковими?). Іноді до запиту додається випадкове ім’я користувача,input_userauth_request: invalid user bash [preauth]

Я мало знаю про сервери, але схоже, що хтось намагається отримати доступ до мого.

Гугл навколо, як заблокувати IP-адресу в Ubuntu, і закінчився цим: iptables -A INPUT -s 211.110.xxx.x -j DROPале після запуску цієї команди та перевірки журналів я все одно отримую запити з цього одного IP кожні 5 секунд.

Як я можу дізнатися більше про те, що відбувається, і вирішити ці постійні запити?

З того, що ви описуєте, це виглядає як автоматизована атака на ваш сервер. Більшість атак є, якщо зловмисник вас особисто не знає і не засмучується ...

У будь-якому випадку, ви можете заглянути в денігости, які ви можете отримати зі звичайних репостів. Він може проаналізувати повторні спроби і заблокує їх IP-адресу. Ви можете все-таки отримати щось у своїх журналах, але це, принаймні, допоможе пом’якшити будь-які проблеми щодо безпеки.

Щодо отримання додаткової інформації, то я насправді не турбував би. Якщо вони не аматори, вони будуть використовувати віддалений сервер для своєї брудної роботи, яка нічого не скаже про те, ким вони є насправді. Ваша найкраща ставка - знайти адміністратора для діапазону IP (WHOIS - ваш друг тут), і повідомити їм, що ви отримуєте багато спроб доступу з цього IP. Вони можуть бути досить хорошими, щоб зробити щось з цього приводу.

Ви не хочете бачити цю невдалу спробу входу в свої журнали, тому вам слід фільтрувати цей IP в мережі.

Якщо у вас є власний брандмауер маршрутизатора або обладнання (не той, який знаходиться на сервері), використовуйте його для блокування цього IP-адреси. Ви також можете попросити свого Інтернет-провайдера заблокувати його.

Якщо сервер VPS, то попросіть свого постачальника послуг VPS заблокувати цей IP. У більшості випадків вони не відхилять ваш запит про допомогу, оскільки це нічого не коштує.

Атаки з одного IP можуть бути легко пом'якшені порівняно з атакою, що надходить з багатьох різних IP-адрес. Для захисту від розповсюдженої атаки вам потрібна спеціальна послуга від постачальника послуг, яку вам доведеться заплатити. На рівні сервера ви можете боротися з Denyhosts або Fail2ban. Fail2ban захищає не тільки ssh, але й інші сервіси. Тут використовується трохи більше пам’яті. Fail2ban використовує iptables для блокування IP-адрес, а DenyHosts використовують файл hosts.deny, обидва використовують журнали для пошуку шкідливих спроб. Ви також можете налаштувати iptables для спроб обмеження швидкості ssh, які не покладаються на журнали.

Усі відповіді вище, проте ...

Ви писали: "Я намагаюся дозволити комусь іншому отримати доступ до машини, але вони постійно отримують помилки пароля"

Оскільки більшість з нас перебувають у динамічному ІР із обмеженим часом оренди DNS-провайдера, більшість із нас використовує динамічну службу DNS для доступу до нашого сервера, коли ви в дорозі. Можливо, ваш віддалений користувач також використовує таку послугу, щоб дістатися до вас, і що це IOP-адреса, яку ви бачите?

BTW - велика кількість хакерів, що працюють на "порт", покладаються на те, що ви робите те, що роблять багато користувачів домашніх серверів, а саме вони не змінюють ідентифікаційний номер входу в стан доставки за замовчуванням. (найчастіше "адміністратор" !!) та просто перевірте всі можливі комбінації пароля

Я думаю, ви виявите, що 99% спроб хакерства припадає на Китай. Це те, що я знайшов. Це марне повідомлення про китайський ІС для хакерства, оскільки це, мабуть, санкціоноване державою. Я не блокую лише IP, я блокую діапазон, у якому знаходиться IP. Використовуйте опцію "підмережа" на своєму маршрутизаторі або з IPTables у вашому вікні Linux, використовуйте підмережу або "/ bits" (наприклад: / 24). На цій сторінці ви знайдете список IP-блоків по країні (є файл tar.gz з усіма): http://www.ipdeny.com/ipblocks/data/countries . Веб-сторінка WHOIS https://whois-search.com/ дає вам добрий початок, у яку країну слід звернути увагу.

1-й. Якщо тільки вам не потрібно ніколи відкривати в мережі стандартні порти вашого сервера. Встановіть маршрутизатор, щоб відкрити випадковий порт типу 53846 і переслати його на цей порт 22.

Хакерські можливості можуть сканувати широкий спектр IP-адрес для відомих портів, таких як 22 та tryto exploit.

2-й вдарив його назад. Подзвоніть йому і дізнайтеся, що він працює. Потім спробуйте отримати доступ до його. Так само, як повернути вогонь. Якщо він знає, що ви на ньому, подола може зупинитися.

Ви також можете пінг його, як божевільний, як попереджувальний постріл.

3-й. Якщо ви хочете повеселитися, ви можете відкрити рахунок гостя. Переконайтесь, що взагалі відсутні прищі. Обмежте його домашнім довідником гостей. Якщо ви хочете отримати мило, ви можете встановити підроблену структуру кореневого каталогу для пробіжки. Встановіть пароль як загальний або без пароля. Введіть його.

Тоді ви можете скористатися командою write і запитати у нього, чому він наполягає на тому, щоб ви забили ваш сервер.