tentativi di accesso falliti, forza bruta

Question

tentativi di accesso falliti, forza bruta

#1 da (1 voti)
#2 da (1 voti)

1

Ho avuto circa 60 tentativi di accesso falliti oggi. E ce ne sono sempre di più.

Quindi sì, il server è protetto con una chiave SSH a 4096 bit (con passphrase). Il server ha installato Fail2ban e l'accesso root è disabilitato.

Oct 23 23:42:30 **** sshd[9726]: Received disconnect from ***: 11:  [preauth]

Oct 24 17:15:13 *** sshd[10386]: Bad protocol version identification '6Oct 23 23:42:30 **** sshd[9726]: Received disconnect from ***: 11:  [preauth]

Oct 24 17:15:13 *** sshd[10386]: Bad protocol version identification '6%pre%3%pre%1' from **** port 34017

Oct 24 03:57:30 * sshd[9929]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Oct 24 03:57:32 * sshd[9929]: Failed password for root from * port 58904 ssh2
Oct 24 03:57:32 * unix_chkpwd[9932]: password check failed for user (root)

Oct 24 03:57:35 ** sshd[9929]: PAM 1 more authentication failure; logname                                                                              = uid=0 euid=0 tty=ssh ruser= rhost=*  user=root

Oct 23 14:59:16 * sshd[9389]: reverse mapping checking getaddrinfo for s                                                                              aargo.com.mx [*] failed - POSSIBLE BREAK-IN ATTEMPT!

vps330608 sshd[8993]: Received disconnect from **: 11: Bye Bye [preauth]
vps330608 sshd[10393]: Received disconnect from **: 11: Closed due to user request. [preauth]
3%pre%1' from **** port 34017

Oct 24 03:57:30 * sshd[9929]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Oct 24 03:57:32 * sshd[9929]: Failed password for root from * port 58904 ssh2
Oct 24 03:57:32 * unix_chkpwd[9932]: password check failed for user (root)

Oct 24 03:57:35 ** sshd[9929]: PAM 1 more authentication failure; logname                                                                              = uid=0 euid=0 tty=ssh ruser= rhost=*  user=root

Oct 23 14:59:16 * sshd[9389]: reverse mapping checking getaddrinfo for s                                                                              aargo.com.mx [*] failed - POSSIBLE BREAK-IN ATTEMPT!

vps330608 sshd[8993]: Received disconnect from **: 11: Bye Bye [preauth]
vps330608 sshd[10393]: Received disconnect from **: 11: Closed due to user request. [preauth]

L'attacco Brute-Force è ancora in esecuzione ... Oltre 400 linee in / var / log / secure Fail2Ban continua a vietare Ip-Adresses. La maggior parte degli IP proviene dall'Italia / Francia. Server situato in Francia.

Qualche preoccupazione?

Saluti

ssh

posta Meerbi 24.10.2016 - 18:03

fonte

2 risposte

1

Ho visto sonde di login ssh giornaliere del tipo che descrivi su tutti i server che hanno un servizio ssh pubblico in esecuzione sulla porta ssh standard per tutto il tempo in cui dispongo di server online (> 10 anni). È quello che stai vedendo traffico davvero eccezionale per il tuo server, o è solo "radiazione di fondo di Internet"?

Ho appena imparato a convivere con il fatto che un server visibile su Internet attirerà una certa quantità di traffico malevolo ogni giorno; è lo stesso con l'esecuzione di un server Web e la visualizzazione di strane richieste progettate per sfruttare alcune debolezze del php, anche se php non è installato. Fino ad ora non hanno mangiato abbastanza banda per farmi preoccupare molto.

Oltre alle facili soluzioni di Anriduh, ecco probabilmente la più semplice: ho notato che è possibile eliminare un numero enorme di sonde automatiche ssh spostando il servizio ssh dalla porta predefinita a una porta non standard. Questo non aiuta, ovviamente, se hai a che fare con un attacco DoS, ma molto probabilmente non lo sei (potresti ottenere centinaia di migliaia di tentativi di connessione, non solo poche centinaia). La modifica della porta predefinita ha l'ulteriore vantaggio di filtrare i tentativi di rottura per determinazione; se qualcuno impiega del tempo per eseguire realmente il portscan della tua macchina per trovare il tuo servizio ssh, invece di tentare ciecamente di connettersi alla porta 22, puoi supporre che il tentativo di interruzione sia un po 'più serio.

Assicurati che il server ssh sia sempre aggiornato, probabilmente è la misura di sicurezza più importante che puoi prendere per evitare problemi.

risposta data 24.10.2016 - 21:01

fonte

Leggi altre domande sui tag ssh

C'è un ulteriore rischio nel passare il token di sessione nel corpo del messaggio? È possibile eseguire il codice shell dal linguaggio di programmazione A in uno script programmato nella lingua B? [chiuso]

score 1 · Accepted Answer

Any worries?

Bene, può essere. Dipende da quanto l'IP del server è aperto per gli accessi ssh. È disponibile per l'intera internet?

Se sì, è altamente vulnerabile agli attacchi, può essere una facile vittima dell'attacco DDoS (o anche DoS). Dato che la porta 22 di questo IP (che è pubblico) è aperta, chiunque può contattarti con fonti contraffatte o addirittura non falsificate.

The Server has Fail2ban installed, and Root login disabled.

fail2ban controlla solo password errate, tentativi et al. Quindi qualsiasi corpo può inviare un flusso di pacchetti SYN al tuo IP e il tuo server potrebbe essere sopraffatto da quei SYN e inviare loro SYN / ACK a fonti inesistenti.

Alcune semplici soluzioni potrebbero essere:

Bloccali all'inizio della tua rete, bloccali utilizzando un firewall o un dispositivo in linea in grado di bloccare le richieste provenienti da fonti indesiderate.
Utilizza IPtables, blocca (elimina, non rifiutare) usando IPtables sul server stesso.
Se utilizzato all'interno della rete lo porta solo su un IP privato

Spero che questo aiuti!