Come prevenire gli attacchi al server

Naviga le tue risposte
2

Ho 3 server CentOS configurati per le mie applicazioni. Recentemente ho riconosciuto che ci sono così tanti attacchi ai miei server. Ho così tanti registri sul tentativo di accedere ai miei server usando sshd da IP sconosciuti.

Questa è una parte del mio registro sicuro: 

May 25 03:45:03 mail sshd[22291]: Invalid user user from 42.121.117.150
May 25 03:45:03 mail sshd[22303]: input_userauth_request: invalid user user
May 25 03:45:03 mail sshd[22291]: pam_unix(sshd:auth): check pass; user unknown
May 25 03:45:03 mail sshd[22291]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=42.121.117.150 
May 25 03:45:03 mail sshd[22291]: pam_succeed_if(sshd:auth): error retrieving information about user user
May 25 03:45:05 mail sshd[22291]: Failed password for invalid user user from 42.121.117.150 port 59430 ssh2
May 25 03:45:05 mail sshd[22303]: Received disconnect from 42.121.117.150: 11: Bye Bye
May 25 03:45:07 mail sshd[22563]: Invalid user user from 42.121.117.150
May 25 03:45:07 mail sshd[22564]: input_userauth_request: invalid user user
May 25 03:45:07 mail sshd[22563]: pam_unix(sshd:auth): check pass; user unknown
May 25 03:45:07 mail sshd[22563]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=42.121.117.150 
May 25 03:45:07 mail sshd[22563]: pam_succeed_if(sshd:auth): error retrieving information about user user
May 25 03:45:09 mail sshd[22563]: Failed password for invalid user user from 42.121.117.150 port 59655 ssh2
May 25 03:45:09 mail sshd[22564]: Received disconnect from 42.121.117.150: 11: Bye Bye
May 25 03:45:11 mail sshd[22565]: Invalid user user1 from 42.121.117.150
May 25 03:45:11 mail sshd[22566]: input_userauth_request: invalid user user1
May 25 03:45:11 mail sshd[22565]: pam_unix(sshd:auth): check pass; user unknown
May 25 03:45:11 mail sshd[22565]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=42.121.117.150 
May 25 03:45:11 mail sshd[22565]: pam_succeed_if(sshd:auth): error retrieving information about user user1
May 25 03:45:13 mail sshd[22565]: Failed password for invalid user user1 from 42.121.117.150 port 59861 ssh2
May 25 03:45:13 mail sshd[22566]: Received disconnect from 42.121.117.150: 11: Bye Bye
May 25 03:45:15 mail sshd[22570]: Invalid user user from 42.121.117.150
May 25 03:45:15 mail sshd[22571]: input_userauth_request: invalid user user
May 25 03:45:15 mail sshd[22570]: pam_unix(sshd:auth): check pass; user unknown
May 25 03:45:15 mail sshd[22570]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=42.121.117.150 
May 25 03:45:15 mail sshd[22570]: pam_succeed_if(sshd:auth): error retrieving information about user user
May 25 03:45:17 mail sshd[22570]: Failed password for invalid user user from 42.121.117.150 port 60107 ssh2

...

May 30 05:28:20 mail sshd[29998]: Failed password for root from 219.138.135.68 port 45105 ssh2
May 30 05:28:21 mail sshd[30273]: Failed password for root from 219.138.135.68 port 53227 ssh2
May 30 05:28:21 mail sshd[30266]: Failed password for root from 219.138.135.68 port 51786 ssh2
May 30 05:28:21 mail unix_chkpwd[30296]: password check failed for user (root)
May 30 05:28:21 mail unix_chkpwd[30297]: password check failed for user (root)
May 30 05:28:21 mail sshd[30280]: Failed password for root from 219.138.135.68 port 55313 ssh2
May 30 05:28:22 mail unix_chkpwd[30298]: password check failed for user (root)

...

May 31 11:12:38 mail sshd[2461]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.233.60.37  user=root
May 31 11:12:40 mail sshd[2461]: Failed password for root from 211.233.60.37 port 48375 ssh2
May 31 11:12:40 mail sshd[2462]: Received disconnect from 211.233.60.37: 11: Bye Bye
May 31 11:12:45 mail unix_chkpwd[2671]: password check failed for user (root)
May 31 11:12:45 mail sshd[2669]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.233.60.37  user=root
May 31 11:12:47 mail sshd[2669]: Failed password for root from 211.233.60.37 port 48619 ssh2
May 31 11:12:47 mail sshd[2670]: Received disconnect from 211.233.60.37: 11: Bye Bye
May 31 11:12:50 mail unix_chkpwd[2675]: password check failed for user (root)
May 31 11:12:50 mail sshd[2673]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.233.60.37  user=root
May 31 11:12:52 mail sshd[2673]: Failed password for root from 211.233.60.37 port 48905 ssh2
May 31 11:12:53 mail sshd[2674]: Received disconnect from 211.233.60.37: 11: Bye Bye
...

Come posso bloccare questo tipo di attacchi al mio server? Ho installato iptables sul mio server e tutte le porte (tranne le mie esigenze) sono state rifiutate al suo interno.

    
posta S.Yavari 31.05.2014 - 13:33
fonte

3 risposte

3

Vorrei installare sshguard su questo server per bloccare automaticamente gli host che cercano di utilizzare i tuoi account ssh. Lo fa aggiungendo gli host offensivi alle regole del firewall.

Un'alternativa a questo è denyhosts che fa più o meno lo stesso di sshguard, ma usa /etc/hosts.deny invece di regole del firewall per bloccare i trasgressori.

    
risposta data 31.05.2014 - 13:52
fonte
3

Oltre alla risposta di @ DogEatCatWorld, c'è un software più generale chiamato " fail2ban " che può essere configurato per monitorare i file di registro per determinate espressioni regolari e tenere traccia degli indirizzi IP che agiscono "sospettosamente" (ad esempio, più tentativi di accesso ssh non riusciti entro un determinato intervallo di tempo) e bloccare temporaneamente l'indirizzo IP a livello di firewall.

Viene fornito con un certo numero di set di regole predefinite per i demoni più comuni ed è quasi infinitamente modificabile, se lo desideri.

    
risposta data 01.06.2014 - 21:52
fonte
1

Potresti (dovresti?) anche:

  • disabilita il login root ssh (puoi ancora usare sudo per fare l'amministrazione del sistema)
  • Disattiva l'autenticazione della password e attiva l'autenticazione della chiave
risposta data 05.04.2015 - 23:30
fonte

Leggi altre domande sui tag

Come identificare il programma Java che accede maliziosamente al mio sito web da molti indirizzi di clienti? Wifi Sniffing Prevention