Fail2Ban continua a mandarmi i log degli utenti bannati, qualcuno sta cercando di hackerarmi?

0

Ho installato e configurato fail2ban sul mio VPS un paio di giorni fa, da quando è installato, continua a inviarmi e-mail dicendo che un IP è stato bannato dopo tentativi di accesso falliti. Il firewall è attivo e fail2ban è in esecuzione, il tempo di divieto è di 1 ora, ma a quanto pare l'ip sta provando molte volte e in porte diverse da SSH.

Qui è parte del registro:

Sep 27 08:33:55 hero2 sshd[18529]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:33:57 hero2 sshd[18529]: Failed password for root from 43.229.53.67 port 22961 ssh2
Sep 27 08:34:01 hero2 sshd[18529]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 22961 ssh2]
Sep 27 08:34:02 hero2 sshd[18529]: Received disconnect from 43.229.53.67: 11:  [preauth]
Sep 27 08:34:02 hero2 sshd[18529]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:02 hero2 sshd[18531]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:04 hero2 sshd[18531]: Failed password for root from 43.229.53.67 port 43817 ssh2
Sep 27 08:34:08 hero2 sshd[18531]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 43817 ssh2]
Sep 27 08:34:08 hero2 sshd[18531]: Received disconnect from 43.229.53.67: 11:  [preauth]
Sep 27 08:34:08 hero2 sshd[18531]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:09 hero2 sshd[18533]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:11 hero2 sshd[18533]: Failed password for root from 43.229.53.67 port 62808 ssh2
Sep 27 08:34:15 hero2 sshd[18533]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 62808 ssh2]
Sep 27 08:34:15 hero2 sshd[18533]: Received disconnect from 43.229.53.67: 11:  [preauth]
Sep 27 08:34:15 hero2 sshd[18533]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:16 hero2 sshd[18535]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:18 hero2 sshd[18535]: Failed password for root from 43.229.53.67 port 26821 ssh2
Sep 27 08:34:22 hero2 sshd[18535]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 26821 ssh2]
Sep 27 08:34:22 hero2 sshd[18535]: Received disconnect from 43.229.53.67: 11:  [preauth]
Sep 27 08:34:22 hero2 sshd[18535]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:23 hero2 sshd[18537]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:25 hero2 sshd[18537]: Failed password for root from 43.229.53.67 port 46038 ssh2
Sep 27 08:34:29 hero2 sshd[18537]: message repeated 2 times: [ Failed password for root from 43

Da quello che vedo, tutto proviene dallo stesso IP, sta tentando molte volte e su porte diverse (non è possibile che il mio firewall blocchi tutte le porte tranne ssh?). Inoltre, root è disabilitato.

Qualcuno sta cercando di forzare il mio VPS? Cosa posso fare per fermarlo?

    
posta raphadko 03.10.2015 - 21:24
fonte

3 risposte

1

Is someone trying to brute force my VPS? What can I do to stop it?

Molto probabile. Se stanno utilizzando un indirizzo statico, puoi bloccarlo utilizzando iptables :

# iptables -A INPUT -s IP_ADDRESS -j DROP

Si noti che l'attaccante può cambiare la sua macchina (VPS) e quindi provare a lanciare nuovamente gli attacchi. Quindi dovresti anche aggiungere il nuovo indirizzo all'elenco degli indirizzi bloccati. È in generale più sicuro utilizzare una buona password.

Modifica # 1:

Per bloccare un host con ufw usa:

# ufw deny from 207.46.232.182

Per un intervallo di host utilizzare una subnet mask:

# ufw deny from 207.46.232.182/24
    
risposta data 03.10.2015 - 21:41
fonte
3

Abituati.

Se hai disabilitato i login di root e stai usando fail2ban, hai già preso alcune precauzioni. Personalmente, limito sempre l'accesso a un gruppo specifico di utenti e disabilito l'autenticazione della password.

Aggiungendo manualmente blocchi al firewall per ogni host che cerca di forzare il proprio sshd non è una strategia praticabile.

    
risposta data 03.10.2015 - 21:50
fonte
0

Sì, qualcuno lo fa, ma non prenderlo sul personale. Nel momento in cui connetti un server a Internet, verrà preso di mira da tali attacchi.

Ci sono molti criminali che eseguono bot che si collegano a indirizzi IP arbitrari, cercano un demone SSH e cercano di forzarlo. L'obiettivo è trovare un sistema configurato da un amministratore inesperto che abbia configurato il proprio server per consentire il login root remoto con una password debole e nessun certificato lato client. Quando trovano un server di questo tipo, vogliono utilizzarlo per attività criminali (hosting di malware e siti di phishing, invio di spam, esecuzione di attacchi DDOS, ecc.).

Quando hai impostato una password abbastanza complessa e configurato fail2ban per bloccare questi tentativi, hai già fatto abbastanza per contrastare questi attacchi completamente automatizzati.

    
risposta data 04.10.2015 - 14:08
fonte

Leggi altre domande sui tag