Cosa sta succedendo al mio server vuoto? [duplicare]

Naviga le tue risposte
0

Un paio di giorni fa ho effettuato l'accesso a una macchina virtuale Linux e la VM ha detto che c'erano 12000 tentativi di accesso non riusciti. Dopo ogni accesso continuava a informarmi di tentativi di accesso falliti, così ho iniziato a monitorare i registri del firewall sulla macchina host (che ora copre anche le macchine virtuali) e continuo a cercare le richieste in entrata per DNS, telnet, http e ssh.

Un esempio di alcune richieste ora:

Come puoi vedere, gli host apparentemente casuali continuano a connettersi al mio host e / o VM usando varie porte.

Ho iniziato a utilizzare il server una settimana fa e tutto ciò che ho fatto è stato legare il mio dominio ad esso e alcune VM su di esso. Non ci sono tuttavia servizi reali in esecuzione su di esso (ad eccezione di alcuni ambienti di test come HTTPD).

Mi piacerebbe notare che la macchina host ha avuto il ransomware (Dharma) per un breve momento (l'ho completamente reinstallato dopo un giorno).

Questo sta succedendo da un paio di giorni e non appena il server arriva online continua. Presumo che questo sia un attacco? Se è così, c'è qualcosa che posso fare al riguardo o semplicemente lo aspetto?

    
posta Limnic 10.12.2016 - 16:52
fonte

1 risposta

2

Ora ci sono milioni di macchine collegate a Internet che sono infette e fanno parte di una o qualche volta più botnet. Una delle cose che fanno le botnet è quella di scappare automaticamente e continuamente attraverso gli indirizzi IP scoperti alla ricerca di porte su cui tentare di connettersi. Quando ne trovano uno, tenteranno di utilizzare id e password comuni per entrare in azione e infettare la macchina trovata.

Troverete che ogni nuovo server o router connesso a Internet viene rilevato entro circa 30 secondi.

Non dovresti MAI lasciare le porte comuni aperte direttamente a Internet a meno che tu non ne abbia davvero bisogno.

Alcune porte non dovrebbero MAI essere lasciate aperte completamente. Quelli includono TELNET e FTP. Si tratta di servizi non crittografati e, se li si utilizza, si è autorizzati a rubare i propri dati di accesso e tutti i dati trasferiti registrati.

In generale, le uniche porte che dovrebbero lasciare aperte sui valori predefiniti sono rispettivamente 80 e 443 per HTTP e HTTPS. Certo, potresti aver bisogno anche di altri ma devi sempre essere consapevole che ogni porta è un bersaglio.

Oltre ai servizi non protetti, consiglio vivamente di spostare le porte predefinite per SSH e RDP in quanto queste attirano molta attenzione e davvero non vuoi che i tuoi registri siano pieni di tentativi di connessione dal momento che questo può mascherare altri problemi. In particolare, il RDP può essere soggetto ad attacchi e di recente sono stati utilizzati attacchi di alto profilo. RDP è il servizio desktop remoto Microsoft.

AGGIORNAMENTO: L'accesso a SSH tramite Teamviewer è davvero un po 'eccessivo. Usalo ma spostalo su una porta diversa. Potresti anche guardare qualcosa come fail2ban che può aggiungere un po 'di intelligenza al firewall autoregolando gli indirizzi IP che tentano di entrare in modo persistente.

In passato Teamviewer ha avuto seri problemi di sicurezza, raccomanderei di fare una ricerca per assicurarsi che sia OK al momento. Solitamente si utilizza RDP solo su un server Windows e amp; hai bisogno di una licenza appropriata per questo.

    
risposta data 10.12.2016 - 17:02
fonte

Leggi altre domande sui tag

Cercando di replicare l'attacco di SQL injection Perché l'accesso a un database remoto è un rischio per la sicurezza?