Un sacco di SSH prova sul mio registro. È normale?

2

Ho un Raspberry Pi collegato a casa mia e al giorno 2 di questo mese ho aperto la porta 22 del mio router in modo che potessi collegarlo da qualsiasi luogo. Oggi per curiosità, ho deciso di vedere il registro pi greco, e ho trovato righe come questa:

Mar 29 07:00:34 raspberrypi sshd[10242]: Failed password for root from 59.63.192.199 port 45555 ssh2 Mar 29 07:00:36 raspberrypi sshd[10242]: Failed password for root from 59.63.192.199 port 45555 ssh2 Mar 29 07:00:38 raspberrypi sshd[10242]: Failed password for root from 59.63.192.199 port 45555 ssh2 Mar 29 07:00:39 raspberrypi sshd[10242]: Received disconnect from 59.63.192.199: 11: [preauth] Mar 29 07:00:39 raspberrypi sshd[10242]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.192.199 user=root Mar 29 07:00:50 raspberrypi sshd[10246]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.192.199 user=root Mar 29 07:00:51 raspberrypi sshd[10246]: Failed password for root from 59.63.192.199 port 38807 ssh2 Mar 29 07:00:53 raspberrypi sshd[10246]: Failed password for root from 59.63.192.199 port 38807 ssh2 Mar 29 07:00:55 raspberrypi sshd[10246]: Failed password for root from 59.63.192.199 port 38807 ssh2

Il Raspberry Pi non ha nemmeno un utente root, ma temo. C'è qualche possibilità che qualcosa sia stato invaso? Sto solo imparando a usare il raspberry pi e oggi stavo per impostare una chiave privata e disabilitare il login SSH basato sulla password. Ho intenzione di formattare anche la scheda SD e reinstallare Raspbian, per sicurezza.

La domanda è: Non riesco a ricordare, ma credo che la porta 22 non sia stata aperta al momento del login. Inoltre, cosa significano quei numeri di porta? Per esempio, dice la porta 38807. Dov'è questo porto? Non stanno cercando di connettersi a 22?

    
posta mafagafo 04.04.2015 - 05:58
fonte

2 risposte

1

Questa domanda è simile, ma non esattamente la stessa, come una domanda che ho avuto sul mio raspberry pi: Accessi falliti con spaziatura ravvicinata in auth.log

Dal log, sembra che qualcuno stia cercando di forzare la password di root. (software liberamente disponibile come hydra lo farà). Le porte elencate dopo l'indirizzo IP 59.63.192.199 sono le porte sul computer malintenzionato, quindi non devono essere 22, la loro destinazione sarà 22 (ssh) ma la loro fonte non deve essere.

L'indirizzo IP 59.63.192.199 proviene da qualche parte in Cina; una ricerca "whois" elenca questo indirizzo come appartenente a un blocco associato alla rete della provincia di Jiangxi. Questo IP risponde al ping, ma sembra che non abbia nessuna delle sue prime 1000 porte aperte per permetterti di rispondere a ...

Fortunatamente per te, l'attaccante non sa di avere un lampone pi, motivo per cui stanno provando "root" e non "pi".

Se sei preoccupato di questo puoi fare un paio di cose per bloccare il tuo pi, ma comunque eseguire un server ssh su di esso: 1) installa ufw; 2) installare fail2ban; 3) usa i tasti ssh

ufw è un firewall, che è generalmente buono da avere, e puoi usarlo per inserire nella lista nera indirizzi IP indesiderati. fail2ban creerà automaticamente una lista nera di persone che cercano di forzarti. La cosa migliore sarebbe passare a usare ssh-keys e disabilitare completamente l'inserimento di username / password. Puoi anche cambiare il server ssh in una porta non standard (usa qualcosa sopra 1000) per evitare un sacco di scansioni di routine.

    
risposta data 04.04.2015 - 06:21
fonte
1

Ci sono già numerose domande a riguardo, qui, su Serverfault e Unix e Linux. Sono sul cellulare, quindi sfortunatamente non riesco a collegarli, ma se cerchi "SSH bruteforce" troverai una domanda con un alto tasso di guadagno su ciascuno di questi siti.

Fondamentalmente, dovresti smettere di pensare che il tuo "Raspberry Pi" (che sto iniziando a odiare questo nome) è qualcosa di speciale. Non lo è, è solo una macchina Linux standard e tutte le domande e le procedure di sicurezza che si applicano alle macchine Linux si applicano anche a questo.

Una volta che hai iniziato a pensare, puoi sfogliare le numerose domande che la rete SE ha sulla sicurezza dei server.

Per il tuo caso particolare, una soluzione rapida sarebbe quella di passare ai tasti e disabilitare completamente l'autenticazione della password (che si prende cura del problema di sicurezza, quindi gli attaccanti non possono fare alcun danno) e cambiare la porta SSH in qualcosa che non standard come 2222 in modo da ottenere meno rumore nei registri (nonostante il passaggio ai tasti, questi tentativi di interruzione automatici continueranno e, sebbene non possano più interromperli, invaderanno comunque i registri).

    
risposta data 04.04.2015 - 11:10
fonte

Leggi altre domande sui tag