Utilizzo una licenza commerciale a pagamento a un provider VPN, che utilizzo su due box, un FreeBSD e un BackBox Linux.
Una volta connesso a questo proxy, la mia interfaccia riceve un IP pubblico dal provider VPN.
Il mio router di casa non ha porte aperte esposte a Internet (ho testato tutte le 65 migliaia di porte con Nmap, provenienti da un IP diverso). Inoltre, non è configurato per eseguire alcun port forwarding e non ho attivato DMZ.
Guardando il mio /var/log/auth.log
ho notato che gli IP del dominio pubblico provano a brute-force il mio SSH. Questo succede solo se connesso alla VPN.
Come è possibile che gli IP esterni raggiungano i miei box NAT? La mia unica spiegazione è che stanno arrivando attraverso la mia connessione VPN, ma se questo è il caso, perché questi IP non si trovano sulla stessa sottorete di quella del mio provider proxy?
Idealmente, vorrei essere in grado di investigare ulteriormente su di me; se qualcuno ha qualche consiglio su come potrei fare qualche ulteriore analisi / medicina legale, o fornire ulteriori letture, sarei molto grato.
Ho incollato sotto alcuni frammenti del mio /var/log/auth.log
, e gli IP incriminati per mostrare come non si trovano nella stessa sottorete (dai log nessuno sembra essere riuscito a connettersi, dal momento che ho SSH disabilitato per l'utente root
).
/var/log/auth.log
Mar 15 11:33:18 MyBox sshd[19993]: Invalid user curis from 101.254.141.27
Mar 15 11:33:18 MyBox sshd[19993]: input_userauth_request: invalid user curis [preauth]
Mar 15 11:33:18 MyBox sshd[19993]: pam_unix(sshd:auth): check pass; user unknown
Mar 15 11:33:18 MyBox sshd[19993]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.254.141.27
Mar 15 11:33:21 MyBox sshd[19993]: Failed password for invalid user curis from 101.254.141.27 port 9038 ssh2
Mar 15 11:33:21 MyBox sshd[19993]: Received disconnect from 101.254.141.27: 11: Bye Bye [preauth]
Mar 15 11:33:24 MyBox sshd[19995]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.254.141.27 user=root
Mar 15 11:33:26 MyBox sshd[19995]: Failed password for root from 101.254.141.27 port 10549 ssh2
Mar 15 11:33:27 MyBox sshd[19995]: Received disconnect from 101.254.141.27: 11: Bye Bye [preauth]
...
Mar 17 19:13:38 MyBox sshd[4369]: reverse mapping checking getaddrinfo for 12.145.195.113.adsl-pool.jx.chinaunicom.com [113.195.145.12] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 19:13:38 MyBox sshd[4369]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.195.145.12 user=root
Mar 17 19:13:40 MyBox sshd[4369]: Failed password for root from 113.195.145.12 port 38767 ssh2
Mar 17 19:13:55 MyBox sshd[4369]: message repeated 5 times: [ Failed password for root from 113.195.145.12 port 38767 ssh2]
Mar 17 19:13:55 MyBox sshd[4369]: error: maximum authentication attempts exceeded for root from 113.195.145.12 port 38767 ssh2 [preauth]
Mar 17 19:13:55 MyBox sshd[4369]: Disconnecting: Too many authentication failures for root [preauth]
Mar 17 19:13:55 MyBox sshd[4369]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.195.145.12 user=root
Mar 17 19:13:55 MyBox sshd[4369]: PAM service(sshd) ignoring max retries; 6 > 3
Alcuni degli IP offendenti
125.64.93.78
125.212.232.112
40.117.40.125
202.83.25.95
185.110.132.54
50.56.29.14
73.240.201.33
78.22.85.130
91.64.44.228