Come dovrei difendermi dagli attacchi di forza bruta TightVNC?

Naviga le tue risposte
4

Come dovrei difendermi da questo tipo di attacco? Questo è un file di log tightvnc estratto da un server cloud linode con Ubuntu 12.04 (Precise) con il pacchetto ubuntu-desktop aggiunto al server nudo. Di default questo server cloud linode di Ubuntu ha esattamente un utente chiamato root . Nessun altro utente sarà mai necessario per questo server e sudo è considerato non conveniente. Questo server esegue esattamente un'applicazione per un business anonimo molto piccolo. Durante l'esecuzione, l'applicazione comunica in modo automatico tramite un socket / porta su Internet. La visualizzazione dei risultati dell'applicazione avviene tramite un tunnel SSH per VNC. La somministrazione della luce avviene tramite ssh , sftp , scp e rsync with SSH .

Gli IP mostrati nell'estratto non sono l'IP del client legittimo. 

05/06/12 20:07:32 Got connection from client 69.194.204.90
05/06/12 20:07:32 Non-standard protocol version 3.4, using 3.3 instead
05/06/12 20:07:32 Too many authentication failures - client rejected
05/06/12 20:07:32 Client 69.194.204.90 gone
05/06/12 20:07:32 Statistics:
05/06/12 20:07:32   framebuffer updates 0, rectangles 0, bytes 0

05/06/12 20:24:56 Got connection from client 79.161.16.40
05/06/12 20:24:56 Non-standard protocol version 3.4, using 3.3 instead
05/06/12 20:24:56 Too many authentication failures - client rejected
05/06/12 20:24:56 Client 79.161.16.40 gone
05/06/12 20:24:56 Statistics:
05/06/12 20:24:56   framebuffer updates 0, rectangles 0, bytes 0

05/06/12 20:29:27 Got connection from client 109.230.246.54
05/06/12 20:29:27 Non-standard protocol version 3.4, using 3.3 instead
05/06/12 20:29:28 rfbVncAuthProcessResponse: authentication failed from 109.230.246.54
05/06/12 20:29:28 Client 109.230.246.54 gone
05/06/12 20:29:28 Statistics:
05/06/12 20:29:28   framebuffer updates 0, rectangles 0, bytes 0

Questo è un problema perché alla fine tightvnc rifiuta una nuova sessione client legittima e segnala che ci sono stati troppi errori di autenticazione quando il client legittimo tenta di eseguire una sessione VNC. La soluzione è riavviare e ricaricare tightvnc su base frequente.

    
posta H2ONaCl 07.06.2012 - 10:46
fonte

3 risposte

5

Poiché accedi a VNC solo tramite un tunnel SSH, chiudi la porta VNC sul firewall e elimina ogni tentativo di connessione proveniente dall'esterno.

    
risposta data 07.06.2012 - 11:14
fonte
2

has exactly one user named root. No other users will ever be needed for this server

In primo luogo, sarei molto sorpreso se ci fosse davvero un solo utente - più probabilmente che questo è l'unico che conosci con un account di accesso. Se sei preoccupato per la sicurezza / disponibilità, questo dovrebbe essere molto in alto nella tua lista di cose da affrontare.

The viewing of application results occurs through an SSH tunnel for VNC

Ma sembra che la gente stia tentando di accedere al server VNC senza usare il tunnel - quindi non hai un firewall (efficace) sul posto, e hai configurato il server vnc per consentire tali connessioni. Non tutte le versioni di VNC consentono di configurare l'accesso tramite l'indirizzo IP, ed è implementato in diversi modi - quindi come minimo, si dovrebbe iniziare bloccando le porte VNC per qualcosa di diverso da 127.0.0.1 usando iptables. Ubuntu fornisce uno strumento molto semplice - gufw - per configurare il firewall.

Dovresti anche prendere misure per limitare l'accesso a ssh: limitare l'accesso a una lista bianca di reti, eseguire fail2ban o utilizzare il knockoff di porta sono soluzioni semplici (ma quest'ultima è difficile da integrare con gufw).

    
risposta data 07.06.2012 - 15:07
fonte
2

Vorrei usare DenyHosts per bloccare i tentativi dopo X quantità di tentativi, ecc. Può essere configurato per bloccare tutti i servizi, non solo SSH ed è semplice da installare. Cioè, se pensi di essere preso di mira ma è comunque una buona idea con i registri utili.,

    
risposta data 07.06.2012 - 15:45
fonte

Leggi altre domande sui tag

Il Regno Unito Terror Watchdog dice che questo è molto difficile in pratica, vero? SSLv3 HandShake ma client TLSv1 ciao