E 'questo un attacco SSH a forza bruta?

Naviga le tue risposte
24

Ho esaminato il file auth.log sul mio server Ubuntu per trovare: 

[preauth]
Feb 22 17:39:18 code-storage sshd[17271]: Disconnected from 147.135.192.203 port 49408 [preauth]
Feb 22 17:40:15 code-storage sshd[17273]: Invalid user ellen from 147.135.192.203
Feb 22 17:40:15 code-storage sshd[17273]: input_userauth_request: invalid user ellen [preauth]
Feb 22 17:40:15 code-storage sshd[17273]: Received disconnect from 147.135.192.203 port 50193:11: Normal Shutdown, Thank you for playing [preauth]
Feb 22 17:40:15 code-storage sshd[17273]: Disconnected from 147.135.192.203 port 50193 [preauth]
Feb 22 17:40:34 code-storage sshd[17275]: Connection closed by 103.237.147.107 port 17583 [preauth]
Feb 22 17:41:12 code-storage sshd[17277]: Invalid user emil from 147.135.192.203
Feb 22 17:41:12 code-storage sshd[17277]: input_userauth_request: invalid user emil [preauth]
Feb 22 17:41:12 code-storage sshd[17277]: Received disconnect from 147.135.192.203 port 50841:11: Normal Shutdown, Thank you for playing [preauth]
Feb 22 17:41:12 code-storage sshd[17277]: Disconnected from 147.135.192.203 port 50841 [preauth]
Feb 22 17:42:05 code-storage sshd[17280]: Invalid user enzo from 147.135.192.203
Feb 22 17:42:05 code-storage sshd[17280]: input_userauth_request: invalid user enzo [preauth]
Feb 22 17:42:05 code-storage sshd[17280]: Received disconnect from 147.135.192.203 port 51356:11: Normal Shutdown, Thank you for playing [preauth]
Feb 22 17:42:05 code-storage sshd[17280]: Disconnected from 147.135.192.203 port 51356 [preauth]
Feb 22 17:42:14 code-storage sshd[17282]: Connection closed by 103.237.147.107 port 64695 [preauth]
Feb 22 17:43:00 code-storage sshd[17285]: Invalid user felix from 147.135.192.203
Feb 22 17:43:00 code-storage sshd[17285]: input_userauth_request: invalid user felix [preauth]
Feb 22 17:43:00 code-storage sshd[17285]: Received disconnect from 147.135.192.203 port 52145:11: Normal Shutdown, Thank you for playing [preauth]
Feb 22 17:43:00 code-storage sshd[17285]: Disconnected from 147.135.192.203 port 52145 [preauth]
Feb 22 17:43:52 code-storage sshd[17287]: Connection closed by 103.237.147.107 port 55122 [preauth]
Feb 22 17:43:56 code-storage sshd[17289]: Invalid user fred from 147.135.192.203
Feb 22 17:43:56 code-storage sshd[17289]: input_userauth_request: invalid user fred [preauth]
Feb 22 17:43:56 code-storage sshd[17289]: Received disconnect from 147.135.192.203 port 52664:11: Normal Shutdown, Thank you for playing [preauth]

C'è molto più di questo, ma questo è degli ultimi minuti prima che io copiassi il file di registro.

Si tratta di un attacco SSH a forza bruta e, in tal caso, dovrei essere preoccupato e quali sono i migliori passaggi e / o soluzioni di mitigazione diversi dalla modifica dell'IP del server?

    
posta David Kamer 22.02.2018 - 19:27
fonte

3 risposte

42

È un attacco bruteforce

Sembra la scansione in background che sperimenterà qualsiasi server su Internet.

Dovrei essere preoccupato

Non proprio, la scansione in background è completamente normale, purché le tue password siano sicure. La scansione in background non dovrebbe rappresentare un rischio.

Quali sono i migliori passaggi per la mitigazione

È possibile utilizzare quanto segue per rendere il server più sicuro:

  • Autorizza solo il login utilizzando l'autenticazione della chiave
  • Disabilita l'accesso ssh root
  • Utilizza un sistema come Fail2Ban per bloccare i tentativi di forza bruta

Devo cambiare gli IP

La modifica degli IP probabilmente non influirà molto sulla scansione in background automatizzata

    
risposta data 22.02.2018 - 19:33
fonte
4

Come già sottolineato nei commenti precedenti, la modifica degli IP NON ti impedisce di eseguire scansioni da scanner dannosi.

Riassumerò i passaggi necessari per davvero proteggere il tuo servizio SSH:

  • come menzionato in precedenza: modifica la porta a un valore non standard (highport), ad es. un valore come 13322. Questo non è un vantaggio di sicurezza reale , ma rende più difficile per qualsiasi bot trovare la porta SSH attiva.
  • SOLO utilizzare le chiavi sicure per l'autenticazione, se possibile, disattivare completamente la tastiera-auth con le password !!
  • Usa fail2ban - servizio, che è disponibile per qualsiasi sistema unix-like / linux-derivate. Questo servizio metterà automaticamente al bando un IP specifico dopo n tentativi di autenticazione falliti per un tempo definito. Il ban è realizzato tramite le regole di iptables, quindi iptables è un requisito.
risposta data 23.02.2018 - 13:44
fonte
1

Un'alternativa a fail2ban, potresti impostare un lavoro cron orario per eseguire uno script semplice come quello seguente. Regola i primi 4 parametri come meglio credi. Funziona con pf .

se non stai usando pf dovrai sostituire la riga pfctl ... con qualcosa che funzioni con il tuo firewall.

Imposta anche un cron job giornaliero per svuotare pf table: pfctl -t bruteforce -vT expire 86400 

#!/bin/sh -f
#
# Check 'Invalid user' attempts on sshd in auth.log (LOGFILE).
# If there are more than (MAX_TRY) attempts within
# the last hour (EARLIEST), source ip is added to PF_TABLE table in pf
#
MAX_TRY=5
LOGFILE=/var/log/auth.log
# last 48 hour
EARLIEST='date -v-48H +%s'
PF_TABLE=bruteforce

grep "Invalid user" $LOGFILE | while read d0 d1 d2 rest; do
    timestamp='date -j -f "%b %d %H:%M:%S" "$d0 $d1 $d2" +%s'
    test $timestamp -lt $EARLIEST && continue
    echo $rest | cut -d ":" -f2- | cut -d " " -f6
done | sort | uniq -c | while read count ip; do
    test $count -lt $MAX_TRY && continue
    pfctl -v -t $PF_TABLE -T add $ip
done
    
risposta data 19.07.2018 - 21:57
fonte

Leggi altre domande sui tag

Differenza tra privilegio e permesso I link per la reimpostazione della password non scadono il rischio di sicurezza?