Utenti non validi che tentano di accedere al mio server

43

Vedo molte voci di registro che sembrano tentativi di accesso non riusciti da indirizzi IP sconosciuti.

Uso chiavi private e pubbliche per accedere con SSH, ma ho notato che anche con set di chiavi pubbliche e private sono in grado di accedere al mio server con filezilla senza eseguire pageant . È normale? Cosa dovrei fare per proteggermi ulteriormente da quello che sembra un attacco di forza bruta?

Ecco il log:

Oct  3 14:11:52 xxxxxx sshd[29938]: Invalid user postgres from 212.64.151.233
Oct  3 14:11:52 xxxxxx sshd[29938]: input_userauth_request: invalid user postgres [preauth]
Oct  3 14:11:52 xxxxxx sshd[29938]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29940]: Invalid user postgres from 212.64.151.233
Oct  3 14:11:52 xxxxxx sshd[29940]: input_userauth_request: invalid user postgres [preauth]
Oct  3 14:11:52 xxxxxx sshd[29940]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29942]: Invalid user postgres from 212.64.151.233
Oct  3 14:11:52 xxxxxx sshd[29942]: input_userauth_request: invalid user postgres [preauth]
Oct  3 14:11:52 xxxxxx sshd[29942]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29944]: Invalid user postgres from 212.64.151.233
Oct  3 14:11:52 xxxxxx sshd[29944]: input_userauth_request: invalid user postgres [preauth]
Oct  3 14:11:52 xxxxxx sshd[29944]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29946]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29948]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29950]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29952]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29954]: Invalid user admin from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29954]: input_userauth_request: invalid user admin [preauth]
Oct  3 14:11:53 xxxxxx sshd[29954]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29956]: Invalid user admin from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29956]: input_userauth_request: invalid user admin [preauth]
Oct  3 14:11:53 xxxxxx sshd[29956]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29958]: Invalid user admin from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29958]: input_userauth_request: invalid user admin [preauth]
Oct  3 14:11:53 xxxxxx sshd[29958]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29960]: User mysql not allowed because account is locked
Oct  3 14:11:53 xxxxxx sshd[29960]: input_userauth_request: invalid user mysql [preauth]
Oct  3 14:11:53 xxxxxx sshd[29960]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29962]: User mysql not allowed because account is locked
Oct  3 14:11:53 xxxxxx sshd[29962]: input_userauth_request: invalid user mysql [preauth]
Oct  3 14:11:53 xxxxxx sshd[29962]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29964]: Invalid user prueba from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29964]: input_userauth_request: invalid user prueba [preauth]
Oct  3 14:11:53 xxxxxx sshd[29964]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29966]: Invalid user prueba from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29966]: input_userauth_request: invalid user prueba [preauth]
Oct  3 14:11:53 xxxxxx sshd[29966]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29968]: Invalid user usuario from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29968]: input_userauth_request: invalid user usuario [preauth]
Oct  3 14:11:53 xxxxxx sshd[29968]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29970]: Invalid user usuario from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29970]: input_userauth_request: invalid user usuario [preauth]
Oct  3 14:11:54 xxxxxx sshd[29970]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29972]: Invalid user admin from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29972]: input_userauth_request: invalid user admin [preauth]
Oct  3 14:11:54 xxxxxx sshd[29972]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29974]: Invalid user nagios from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29974]: input_userauth_request: invalid user nagios [preauth]
Oct  3 14:11:54 xxxxxx sshd[29974]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29976]: Invalid user nagios from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29976]: input_userauth_request: invalid user nagios [preauth]
Oct  3 14:11:54 xxxxxx sshd[29976]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29978]: Invalid user nagios from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29978]: input_userauth_request: invalid user nagios [preauth]
Oct  3 14:11:54 xxxxxx sshd[29978]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29980]: Invalid user nagios from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29980]: input_userauth_request: invalid user nagios [preauth]
Oct  3 14:11:54 xxxxxx sshd[29980]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29982]: Invalid user oracle from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29982]: input_userauth_request: invalid user oracle [preauth]
Oct  3 14:11:54 xxxxxx sshd[29982]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29984]: Invalid user oracle from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29984]: input_userauth_request: invalid user oracle [preauth]
Oct  3 14:11:54 xxxxxx sshd[29984]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29986]: Invalid user oracle from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29986]: input_userauth_request: invalid user oracle [preauth]
Oct  3 14:11:54 xxxxxx sshd[29986]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29988]: Invalid user oracle from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29988]: input_userauth_request: invalid user oracle [preauth]
Oct  3 14:11:55 xxxxxx sshd[29988]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29990]: Invalid user ftpuser from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29990]: input_userauth_request: invalid user ftpuser [preauth]
Oct  3 14:11:55 xxxxxx sshd[29990]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29992]: Invalid user ftpuser from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29992]: input_userauth_request: invalid user ftpuser [preauth]
Oct  3 14:11:55 xxxxxx sshd[29992]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29994]: Invalid user ftpuser from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29994]: input_userauth_request: invalid user ftpuser [preauth]
Oct  3 14:11:55 xxxxxx sshd[29994]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29996]: Invalid user guest from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29996]: input_userauth_request: invalid user guest [preauth]
Oct  3 14:11:55 xxxxxx sshd[29996]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29998]: Invalid user guest from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29998]: input_userauth_request: invalid user guest [preauth]
Oct  3 14:11:55 xxxxxx sshd[29998]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[30000]: Invalid user guest from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[30000]: input_userauth_request: invalid user guest [preauth]
Oct  3 14:11:55 xxxxxx sshd[30000]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[30002]: Invalid user guest from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[30002]: input_userauth_request: invalid user guest [preauth]
Oct  3 14:11:55 xxxxxx sshd[30002]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30004]: Invalid user test from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30004]: input_userauth_request: invalid user test [preauth]
Oct  3 14:11:56 xxxxxx sshd[30004]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30006]: Invalid user test from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30006]: input_userauth_request: invalid user test [preauth]
Oct  3 14:11:56 xxxxxx sshd[30006]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30008]: Invalid user test from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30008]: input_userauth_request: invalid user test [preauth]
Oct  3 14:11:56 xxxxxx sshd[30008]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30010]: Invalid user test from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30010]: input_userauth_request: invalid user test [preauth]
Oct  3 14:11:56 xxxxxx sshd[30010]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30012]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30014]: Invalid user user from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30014]: input_userauth_request: invalid user user [preauth]
Oct  3 14:11:56 xxxxxx sshd[30014]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30016]: Invalid user user from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30016]: input_userauth_request: invalid user user [preauth]
Oct  3 14:11:56 xxxxxx sshd[30016]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30018]: Invalid user user from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30018]: input_userauth_request: invalid user user [preauth]
Oct  3 14:11:56 xxxxxx sshd[30018]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30020]: Invalid user user from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30020]: input_userauth_request: invalid user user [preauth]
Oct  3 14:11:57 xxxxxx sshd[30020]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30022]: Invalid user jboss from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30022]: input_userauth_request: invalid user jboss [preauth]
Oct  3 14:11:57 xxxxxx sshd[30022]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30024]: Invalid user jboss from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30024]: input_userauth_request: invalid user jboss [preauth]
Oct  3 14:11:57 xxxxxx sshd[30024]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30026]: Invalid user squid from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30026]: input_userauth_request: invalid user squid [preauth]
Oct  3 14:11:57 xxxxxx sshd[30026]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30028]: Invalid user squid from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30028]: input_userauth_request: invalid user squid [preauth]
Oct  3 14:11:57 xxxxxx sshd[30028]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30030]: Invalid user temp from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30030]: input_userauth_request: invalid user temp [preauth]
Oct  3 14:11:57 xxxxxx sshd[30030]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30032]: Invalid user svn from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30032]: input_userauth_request: invalid user svn [preauth]
Oct  3 14:11:57 xxxxxx sshd[30032]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30034]: Invalid user ts from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30034]: input_userauth_request: invalid user ts [preauth]
Oct  3 14:11:57 xxxxxx sshd[30034]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
    
posta mk_89 03.10.2012 - 15:28
fonte

7 risposte

53

È molto comune. Molte botnet cercano di diffondersi in questo modo, quindi questo è un attacco senza cervello su larga scala. Le misure di mitigazione includono:

  • Utilizza le password con alta entropia che è molto improbabile che siano forzate brute.
  • Disattiva login SSH per root .
  • Utilizza un nome utente "improbabile", che i botnet non useranno.
  • Disattiva completamente l'autenticazione basata su password.
  • Esegui il server SSH su un'altra porta rispetto a 22.
  • Utilizza fail2ban per rifiutare automaticamente l'IP degli aggressori o rallentarli.
  • Permetti connessioni SSH solo da una whitelist di IP (fai attenzione a non bloccarti se il tuo IP di casa è dinamicamente dinamico!).

La maggior parte di queste misure riguarda il mantenimento dei file di registro di piccole dimensioni; anche quando la forza bruta non riesce, le migliaia di voci del registro sono un problema poiché possono nascondere gli attacchi mirati reali. Un po 'di sicurezza attraverso l'oscurità (come l'improbabile nome utente e il cambio di porta) funziona meraviglie contro gli attaccanti senza mente: sì, la sicurezza attraverso l'oscurità è cattiva e sbagliata e così via, ma a volte funziona e non ti farai friggere da un vendicativo divinità se la usi sensibilmente .

Una password ad alta entropia sarà efficace contro gli attaccanti intelligenti, tuttavia, e può essere raccomandata solo in tutte le situazioni.

    
risposta data 03.10.2012 - 17:12
fonte
10

Il metodo più semplice e sicuro per impedire l'accesso indesiderato tramite SSH al server sarà consentire solo l'accesso SSH a determinati host.

Questo può essere facilmente configurato con i wrapper TCP se si utilizza un server linux. Anche i firewall per limitare l'accesso funzioneranno.

Diversamente dalle altre risposte, non penso che cambiare la porta predefinita del servizio ssh sia una buona idea. La sicurezza dall'oscurità non funziona mai e non fermerà un attacco mirato da parte di un determinato aggressore. Provoca anche alcuni problemi di usabilità nella mia esperienza.

Se limitare l'accesso SSH a determinati host non è un'opzione, anche gli indirizzi IP in blacklist da cui proviene l'attacco potrebbero funzionare. Tuttavia, tieni presente che ciò non sarà efficace contro gli aggressori che utilizzano più indirizzi IP di altri computer compromessi per attaccarti.

    
risposta data 03.10.2012 - 16:02
fonte
5

Ci sono un paio di cose che puoi fare, e un paio di queste sembra che tu stia già facendo, quindi va bene.

  1. Richiedi un file di chiavi per accedere.
  2. Non eseguire SSH sulla porta 22. È il primo (e di solito solo) dove si troverà un bot, ed è possibile evitare il 90% di questi tentativi di accesso con una semplice modifica alla configurazione SSHD. [ Modifica: come giustamente dice Terry Chia, questa è sicurezza attraverso l'oscurità. Potrebbe mantenere i registri più puliti delle voci dei bot, ma non rallenterà un umano in basso di un bit. Se il tuo sistema non è sicuro, spostare l'insicurezza su un'altra porta non sarà di aiuto.]
  3. Usa qualcosa come Fail2ban. Controlla i log e può aggiungere regole firewall per eliminare pacchetti da qualsiasi indirizzo che non riesce ad accedere troppe volte.
  4. Se possibile, consenti l'accesso solo dagli IP autorizzati.

In definitiva, se si dispone di un servizio come SSH che accetta pacchetti da Internet più ampia, non c'è nulla che si possa fare per impedire alle persone di tentare di attaccarlo. Una volta che sei sicuro di aver preso le opportune precauzioni, le voci del registro dovrebbero essere annotate, ma alla fine trattate come rumore di fondo.

    
risposta data 03.10.2012 - 15:48
fonte
4

Avere una porta SSH aperta è decisamente incline a questo tipo di attacchi, dal momento che ci sono così tanti robot là fuori che cercano di scansionare porte aperte SSH e lanciare attacchi di forza bruta con l'obiettivo di entrare in uno. Ci sarà ovviamente un problema se si sono utilizzate le impostazioni SSHD predefinite e si sono consentite connessioni basate su password. Per fortuna non l'hai fatto. Credo che cambiare la porta di default per l'ascolto sul tuo SSHD ridurrà sicuramente il numero di tentativi poiché la maggior parte degli scanner cerca la porta aperta 22. Questa è 'sicurezza per oscurità' e non è sicuramente una soluzione raccomandata. Ma risolverà il tuo problema attuale, fino a quando qualcuno con più esperienza fornirà una soluzione migliore.

    
risposta data 03.10.2012 - 15:36
fonte
4

O usa la lista nera dal link e segnala tutti i nuovi attaccanti.

Importare ssh.txt e bloccare tutti gli IP che sono stati segnalati alla lista nera nelle ultime 48 ore in ssh-attack o bloccarli con fail2ban e segnalarli automaticamente al proprio ISP. Iptables-blocklist-script sono disponibili nel forum per il download.

    
risposta data 04.10.2012 - 08:37
fonte
1

Poiché trovo queste richieste SSH e le risme di log che generano essere un fastidioso spreco di risorse di sistema, utilizzo il knock-out della porta. La porta SSH è visibile solo agli host da cui viene ricevuta la sequenza di colpi. Per gli altri host, sembra che non ci sia un servizio SSH su quella macchina.

Port knocking è un po 'scomodo in quanto per utilizzarlo in modo affidabile su reti a lungo raggio con lag variabile, hai davvero bisogno di un programma client dedicato per inviare la sequenza dei colpi. Inoltre, potresti trovarti in una rete che blocca il traffico in uscita verso alcuni dei numeri di porta che hai scelto nella sequenza di knockout.

Invece di bussare alla porta, puoi implementare il web knocking. Se la macchina pubblica un server web pubblico, puoi mettere una piccola applicazione web (sotto un URL che conosci solo tu) in modo tale che se si esplora quell'URL e si inserisca un valore corretto in un modulo e lo si invii, si aprirà sulla porta.

    
risposta data 03.10.2012 - 23:08
fonte
0

Per quanto riguarda la tua domanda su filezilla / paga: la risposta breve è sì, è normale. Lo definirei un effetto collaterale non voluto. In base alla mia esperienza se usi lo stucco, imposta qui la chiave privata (Connessione, SSH, Auth), & salva la sessione che verrà archiviata nel registro. Se il nome "Sito" in filezilla è uguale a quello della sessione in putty, filezilla controlla quel registro per stucco e amp; lo usa

Ho parlato nei loro forum su questo (principalmente nel contesto dell'utilizzo della password chiavi protette)

    
risposta data 26.11.2013 - 23:35
fonte

Leggi altre domande sui tag