Primi passi per prevenire gli attacchi DOS

7

Il mio server è attualmente attaccato da un altro server. Questo è il mio log:

root@my-server:/var/log# tail -f auth.log
Feb 19 11:53:08 my-server sshd[3745]: Disconnecting: Too many authentication failures for root [preauth]
Feb 19 11:53:08 my-server sshd[3745]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.32.114.181  user=root
Feb 19 11:53:08 my-server sshd[3745]: PAM service(sshd) ignoring max retries; 6 > 3
Feb 19 11:53:39 my-server sshd[3747]: Address 125.32.114.181 maps to 181.114.32.125.adsl-pool.jlccptt.net.cn, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 19 11:53:41 my-server sshd[3747]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.32.114.181  user=root
Feb 19 11:53:44 my-server sshd[3747]: Failed password for root from 125.32.114.181 port 1680 ssh2
Feb 19 11:53:57  sshd[3747]: last message repeated 5 times
Feb 19 11:53:57 my-server sshd[3747]: Disconnecting: Too many authentication failures for root [preauth]
Feb 19 11:53:57 my-server sshd[3747]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.32.114.181  user=root
Feb 19 11:53:57 my-server sshd[3747]: PAM service(sshd) ignoring max retries; 6 > 3

Quali sono i primi passi per prevenire questo tipo di attacchi?

    
posta torayeff 19.02.2014 - 13:08
fonte

3 risposte

10

Considerando che l'attaccante sta facendo strette di mano complete con tcp-ip, l'installazione di un HIDS come OSSEC o fail2ban dovrebbero funzionare abbastanza bene per eliminare automaticamente questo traffico.

    
risposta data 19.02.2014 - 13:22
fonte
5

Spostare SSH su una porta alternativa non è una cattiva idea. Sebbene non ti protegga da un determinato aggressore che impiega il tempo necessario per eseguire un portscan completo, in realtà impedirà il 99,999% di tutti gli attacchi.

La stragrande maggioranza di tutti i server web pubblici non vedrà mai nemmeno un singolo aggressore determinato che impiegherebbe del tempo per trovare la porta SSH. Tuttavia, i tutti server su Internet possono aspettarsi che la porta 22 venga attaccata, in genere alcune decine di migliaia di volte al giorno, ogni giorno.

Queste scansioni SSH sono automatizzate, impersonali e in genere provano un numero molto limitato di password, da qualche parte nell'intervallo da 10 a 10.000 tentativi per aggressore. Quindi, fintanto che tutte le tue password SSH sono lunghe e imprevedibili, non dovresti avere nulla di cui preoccuparti.

Tuttavia, le chiavi SSH sono sempre migliori delle password. In particolare per root , l'autenticazione della password dovrebbe essere disabilitata del tutto. Disattiva il login diretto come root (preferito) o disabilita l'autenticazione della password per root usando PermitRootLogin without-password nel tuo file sshd_config .

    
risposta data 19.02.2014 - 18:56
fonte
2

La prima soluzione semplice consiste nel bandire l'indirizzo IP da cui proviene l'attacco. Questo potrebbe essere fatto sul router o sul server stesso. Di solito dopo l'IP cambia e gli attacchi continuano.

Aggiornato: un'altra soluzione semplice potrebbe essere il filtraggio IP. Questo potrebbe essere fatto sul router e sul firewall del server. Questo è applicabile quando si utilizza SSH solo da una determinata destinazione. Di solito potrebbe esserci un'altra macchina usata come porta per più server. Il server sarebbe irraggiungibile su quella porta per un altro IP.

Un'altra soluzione molto semplice potrebbe essere quella di posizionare SSH su un numero di porta diverso (come 9022, ecc.) e lasciare 22 "vuoti". Questa è "sicurezza per curiosità". Aggiornato: il server non sarebbe raggiungibile sulla porta 22, ma è ancora vulnerabile quando qualcuno esegue la scansione delle porte.

Per prevenire la forza bruta sul server puoi usare SSHGuard che protegge diversi servizi o un'altra utility simile, come fail2ban menzionato prima. Aggiornamento: questi strumenti modificano automaticamente le regole del firewall, di solito in base ai file di log di analisi ... e possono fare molto di più.

    
risposta data 19.02.2014 - 14:53
fonte

Leggi altre domande sui tag