Penso che il mio server sia sotto attacco, cosa posso fare per fermarlo? [duplicare]

2

Ho un piccolo server SSH utilizzato principalmente per la condivisione di file. Un paio di altre persone e io lo uso e ci sono solo 3 utenti. Recentemente ho controllato il file auth.log e c'era una quantità ridicola di accessi da un insieme di host con nomi utente diversi. Penso di essere stato violato da qualcosa come Hydra e non sono sicuro di cosa fare. Ho inserito una porzione del file di registro su pastebin: link

Ho preso alcune informazioni dal file per ragioni di sicurezza, ma tutto quello che devi vedere è lì. Nessuno di questi nomi utente suona un campanello né l'ip.

    
posta smithy545 12.12.2012 - 02:15
fonte

4 risposte

1

Non penso che il tuo server venga attaccato in modo molto efficace, se è il solito attacco di tipo "guess root password password". L'attacco non funzionerà se hai configurato correttamente sshd (con PermitRootLogin no ).

Se sei a tuo agio con la codifica in linguaggio C, puoi creare un "tarpit" da sshd seguendo queste istruzioni . L'ultima volta che l'ho fatto, ho impostato il mio server SSH per ritardare per 7 secondi una password errata. Non ho fatto esattamente come dicevano le istruzioni, ma era piuttosto vicino. Ad ogni modo, con una password errata, sshd dorme per alcuni secondi, il che inficia in realtà i cicli che gli indovini delle password possono compromettere, poiché inviano le richieste in sequenza e a thread singolo.

Se configuriamo tutti i nostri server SSH in questo modo, la supposizione della password SSH farà la fine del dinosauro.

    
risposta data 12.12.2012 - 03:39
fonte
1

Benvenuti in Internet. Ci sono centinaia e migliaia di host che cercano i server SSH e tentano di forzarli ogni giorno. Non sei diverso. Ci sono alcune cose che puoi fare per proteggerti.

In primo luogo, disattivare gli accessi basati su password se possibile. L'utilizzo solo dell'autenticazione a chiave pubblica interromperà completamente la forzatura brute della password. Se è necessario utilizzare l'autenticazione basata su password, assicurarsi di non disporre di account / password predefiniti, disabilitare il login di root e imporre la complessità della password con qualcosa come passwdqc o pam_cracklib .

In secondo luogo, utilizza fail2ban per monitorare gli accessi non validi e vietare temporaneamente i trasgressori. I divieti temporanei sono migliori di quelli permanenti, dal momento che potresti bloccarti per sbaglio e i divieti permanenti ingombreranno le regole del tuo firewall.

    
risposta data 12.12.2012 - 04:35
fonte
0

Sembra proprio Con la quantità, i tempi e tutti i nomi utente sono valori predefiniti generici. Se provengono tutti dallo stesso ip, come appare nel bit di log su pastebin, puoi semplicemente bloccare quell'ip.

    
risposta data 12.12.2012 - 02:27
fonte
0

Ho appena saputo che esiste un pacchetto che serve a questo scopo: link

Si noti che questo non è "Live". Guarda i file di log e quindi blocca quel particolare IP. Nel tuo caso, funzionerebbe.

    
risposta data 12.12.2012 - 03:57
fonte

Leggi altre domande sui tag