Tentativi di login non validi del server Debian e utilizzo della larghezza di banda elevata

Question

Tentativi di login non validi del server Debian e utilizzo della larghezza di banda elevata

#1 da (1 voti)
#2 da (0 voti)
#3 da (0 voti)
#4 da (0 voti)

0

Da un paio di giorni il mio server Debian ha iniziato a ottenere i tentativi di accesso (vedi il file di log sotto). /var/log/auth.log torna solo tre giorni, anche se il server è in esecuzione da molto più tempo.

Ho notato che la rete in-traffico è aumentata di 10 volte e il server si è fermato per eseguire il suo lavoro (rastrellando e analizzando i dati meteo ogni x minuti).

Questi tentativi di hacking o, semplicemente, qualcuno che ha commesso un errore onesto e sta tentando di accedere al server sbagliato?

Ho riavviato il server e ottenuto un nuovo IP. I tentativi di accesso si sono interrotti e il server ha potuto riprendere a funzionare come previsto. Basta?

Utenti non validi:

Feb 25 07:05:47 <my_server_name> sshd[20223]: Invalid user pi from 84.1.34.55 port 42168
Feb 25 07:05:47 <my_server_name> sshd[20225]: Invalid user pi from 84.1.34.55 port 42170
Feb 25 07:11:16 <my_server_name> sshd[20249]: Invalid user admin from 110.77.173.11 port 59058
Feb 25 09:26:11 <my_server_name> sshd[20693]: Invalid user cacti from 91.206.4.250 port 51831
Feb 25 09:29:56 <my_server_name> sshd[20699]: Invalid user system from 91.206.4.250 port 46048
Feb 25 09:34:07 <my_server_name> sshd[20720]: Invalid user oracle4 from 91.206.4.250 port 40576
Feb 25 09:38:17 <my_server_name> sshd[20738]: Invalid user kang from 91.206.4.250 port 35145
Feb 25 09:43:07 <my_server_name> sshd[20757]: Invalid user scaner from 91.206.4.250 port 58343
Feb 25 10:45:32 <my_server_name> sshd[20972]: Invalid user  0101 from 5.101.40.10 port 60675
Feb 25 13:01:14 <my_server_name> sshd[21480]: Invalid user packer from 178.238.227.236 port 48256
Feb 25 13:57:14 <my_server_name> sshd[21708]: Invalid user customer from 45.77.20.111 port 61447
Feb 25 19:26:16 <my_server_name> sshd[23390]: Invalid user admin from 41.238.155.19 port 54046
Feb 25 19:26:21 <my_server_name> sshd[23394]: Invalid user admin from 123.17.142.134 port 8115
Feb 25 19:26:25 <my_server_name> sshd[23396]: Invalid user admin from 123.21.121.162 port 47277
Feb 26 01:07:26 <my_server_name> sshd[24576]: Invalid user setup from 125.212.248.37 port 51559
Feb 26 01:11:29 <my_server_name> sshd[24595]: Invalid user test7 from 125.212.248.37 port 43459
Feb 26 01:15:54 <my_server_name> sshd[24613]: Invalid user squid from 125.212.248.37 port 35362
Feb 26 01:20:36 <my_server_name> sshd[24635]: Invalid user ubnt from 125.212.248.37 port 55512
Feb 26 01:25:30 <my_server_name> sshd[24655]: Invalid user cron from 125.212.248.37 port 47436
Feb 26 03:27:08 <my_server_name> sshd[25046]: Invalid user  0101 from 5.101.40.10 port 40939
Feb 26 03:27:19 <my_server_name> sshd[25050]: Invalid user 0 from 5.101.40.10 port 46872
Feb 26 03:27:32 <my_server_name> sshd[25053]: Invalid user 1234 from 5.101.40.10 port 56612
Feb 26 03:27:40 <my_server_name> sshd[25056]: Invalid user admin from 5.101.40.10 port 42483
Feb 26 03:27:42 <my_server_name> sshd[25059]: Invalid user admin from 5.101.40.10 port 38818
Feb 26 07:42:23 <my_server_name> sshd[26082]: Invalid user admin from 82.209.209.32 port 56889
Feb 26 07:42:27 <my_server_name> sshd[26086]: Invalid user admin from 186.101.223.181 port 58521
Feb 26 07:42:35 <my_server_name> sshd[26088]: Invalid user admin from 109.86.89.70 port 48484
Feb 26 09:20:40 <my_server_name> sshd[26459]: Invalid user ubuntu from 62.210.103.20 port 17592
Feb 26 09:53:32 <my_server_name> sshd[26570]: Invalid user ubuntu from 62.210.103.20 port 33833
Feb 26 10:27:02 <my_server_name> sshd[26696]: Invalid user ubuntu from 62.210.103.20 port 50168
Feb 26 12:22:59 <my_server_name> sshd[27097]: Invalid user alice from 54.197.138.157 port 44960
Feb 26 12:23:05 <my_server_name> sshd[27100]: Invalid user packer from 54.197.138.157 port 46468
Feb 26 12:23:12 <my_server_name> sshd[27103]: Invalid user ec2-user from 54.197.138.157 port 48060
Feb 26 12:23:32 <my_server_name> sshd[27111]: Invalid user deploy from 54.197.138.157 port 52844
Feb 26 12:23:38 <my_server_name> sshd[27114]: Invalid user vagrant from 54.197.138.157 port 54437
Feb 26 12:23:45 <my_server_name> sshd[27117]: Invalid user postgres from 54.197.138.157 port 56043
Feb 26 12:23:58 <my_server_name> sshd[27122]: Invalid user tigertooth from 54.197.138.157 port 59214
Feb 26 12:24:05 <my_server_name> sshd[27125]: Invalid user ubuntu from 54.197.138.157 port 60813
Feb 26 12:24:12 <my_server_name> sshd[27128]: Invalid user centos from 54.197.138.157 port 34175
Feb 26 14:06:56 <my_server_name> sshd[27484]: Invalid user  0101 from 5.101.40.10 port 35918
Feb 26 14:07:04 <my_server_name> sshd[27488]: Invalid user 0 from 5.101.40.10 port 42591
Feb 26 14:07:09 <my_server_name> sshd[27491]: Invalid user 1234 from 5.101.40.10 port 53641
Feb 26 14:07:10 <my_server_name> sshd[27494]: Invalid user admin from 5.101.40.10 port 51921
Feb 26 14:07:19 <my_server_name> sshd[27497]: Invalid user admin from 5.101.40.10 port 41209
Feb 26 14:07:28 <my_server_name> sshd[27499]: Invalid user admin from 5.101.40.10 port 45466
Feb 26 14:07:34 <my_server_name> sshd[27501]: Invalid user admin from 5.101.40.10 port 56275
Feb 26 14:07:39 <my_server_name> sshd[27504]: Invalid user default from 5.101.40.10 port 40792
Feb 26 14:07:47 <my_server_name> sshd[27507]: Invalid user ftp from 5.101.40.10 port 55119
Feb 26 17:40:53 <my_server_name> sshd[28259]: Invalid user pi from 113.232.204.10 port 42721
Feb 26 17:40:53 <my_server_name> sshd[28258]: Invalid user pi from 113.232.204.10 port 42720
Feb 26 19:21:41 <my_server_name> sshd[28896]: Invalid user pi from 115.231.212.82 port 2022
Feb 26 19:21:43 <my_server_name> sshd[28899]: Invalid user PlcmSpIp from 115.231.212.82 port 2408
Feb 26 19:21:44 <my_server_name> sshd[28903]: Invalid user admin from 115.231.212.82 port 2774
Feb 26 19:21:46 <my_server_name> sshd[28907]: Invalid user ftpuser from 115.231.212.82 port 3079
Feb 26 19:21:48 <my_server_name> sshd[28910]: Invalid user ftpuser from 115.231.212.82 port 3456
Feb 26 19:21:50 <my_server_name> sshd[28912]: Invalid user guest from 115.231.212.82 port 3889
Feb 26 19:21:52 <my_server_name> sshd[28915]: Invalid user guest from 115.231.212.82 port 4197
Feb 26 19:21:53 <my_server_name> sshd[28917]: Invalid user guest from 115.231.212.82 port 4645
Feb 26 19:21:55 <my_server_name> sshd[28919]: Invalid user ubnt from 115.231.212.82 port 4966
Feb 26 19:21:57 <my_server_name> sshd[28924]: Invalid user test from 115.231.212.82 port 1611
Feb 26 19:21:59 <my_server_name> sshd[28927]: Invalid user test1 from 115.231.212.82 port 1866
Feb 26 19:22:00 <my_server_name> sshd[28930]: Invalid user test from 115.231.212.82 port 2191
Feb 26 19:22:02 <my_server_name> sshd[28932]: Invalid user test from 115.231.212.82 port 2475
Feb 26 19:22:04 <my_server_name> sshd[28934]: Invalid user test from 115.231.212.82 port 2758
Feb 26 19:22:06 <my_server_name> sshd[28936]: Invalid user admin from 115.231.212.82 port 2999
Feb 26 19:22:18 <my_server_name> sshd[28956]: Invalid user ftp from 115.231.212.82 port 1157
Feb 26 19:22:20 <my_server_name> sshd[28959]: Invalid user ftp from 115.231.212.82 port 1375
Feb 26 19:22:22 <my_server_name> sshd[28961]: Invalid user ftp from 115.231.212.82 port 1569
Feb 26 19:22:24 <my_server_name> sshd[28963]: Invalid user vyatta from 115.231.212.82 port 1933
Feb 26 19:22:25 <my_server_name> sshd[28966]: Invalid user user from 115.231.212.82 port 2156
Feb 26 19:22:27 <my_server_name> sshd[28970]: Invalid user user from 115.231.212.82 port 2446
Feb 26 19:22:29 <my_server_name> sshd[28973]: Invalid user www from 115.231.212.82 port 2952
Feb 26 19:22:31 <my_server_name> sshd[28976]: Invalid user info from 115.231.212.82 port 3242
Feb 26 19:22:32 <my_server_name> sshd[28979]: Invalid user admin from 115.231.212.82 port 3658
Feb 26 19:22:34 <my_server_name> sshd[28982]: Invalid user admin from 115.231.212.82 port 3933
Feb 26 19:22:36 <my_server_name> sshd[28984]: Invalid user git from 115.231.212.82 port 4227
Feb 26 19:22:38 <my_server_name> sshd[28989]: Invalid user vyatta from 115.231.212.82 port 4592
Feb 26 19:22:39 <my_server_name> sshd[28991]: Invalid user operator from 115.231.212.82 port 4880
Feb 26 19:22:41 <my_server_name> sshd[28994]: Invalid user webmaster from 115.231.212.82 port 1144
Feb 26 19:22:43 <my_server_name> sshd[28997]: Invalid user nagios from 115.231.212.82 port 1472
Feb 26 19:22:45 <my_server_name> sshd[29000]: Invalid user oracle from 115.231.212.82 port 1937
Feb 26 19:22:46 <my_server_name> sshd[29003]: Invalid user fax from 115.231.212.82 port 2250
Feb 26 19:22:48 <my_server_name> sshd[29008]: Invalid user fax from 115.231.212.82 port 2530
Feb 26 19:22:50 <my_server_name> sshd[29010]: Invalid user sales from 115.231.212.82 port 2753
Feb 26 19:22:52 <my_server_name> sshd[29013]: Invalid user server from 115.231.212.82 port 3009
Feb 26 19:22:54 <my_server_name> sshd[29016]: Invalid user mysql from 115.231.212.82 port 3348
Feb 26 19:22:55 <my_server_name> sshd[29019]: Invalid user public from 115.231.212.82 port 3621
Feb 26 19:22:57 <my_server_name> sshd[29022]: Invalid user demo from 115.231.212.82 port 3875

Questo è l'output di netstat -l

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:ssh             0.0.0.0:*               LISTEN     
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN     
udp        0      0 0.0.0.0:bootpc          0.0.0.0:*                          
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     STREAM     LISTENING     10332    /run/systemd/private
unix  2      [ ACC ]     SEQPACKET  LISTENING     10343    /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     10345    /run/systemd/fsck.progress
unix  2      [ ACC ]     STREAM     LISTENING     12394    /var/run/nscd/socket
unix  2      [ ACC ]     STREAM     LISTENING     12396    /var/run/.nscd_socket
unix  2      [ ACC ]     STREAM     LISTENING     10351    /run/systemd/journal/stdout
unix  2      [ ACC ]     STREAM     LISTENING     12176    /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     28848    /run/user/1000/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     28853    /run/user/1000/gnupg/S.gpg-agent
unix  2      [ ACC ]     STREAM     LISTENING     28856    /run/user/1000/gnupg/S.gpg-agent.browser
unix  2      [ ACC ]     STREAM     LISTENING     28858    /run/user/1000/gnupg/S.gpg-agent.ssh
unix  2      [ ACC ]     STREAM     LISTENING     28860    /run/user/1000/gnupg/S.gpg-agent.extra

attacks incident-analysis

posta Julpi 27.02.2018 - 19:14

fonte

4 risposte

Leggi altre domande sui tag attacks incident-analysis

Come recuperare a distanza Hash password dal computer Cosa può fare un utente malintenzionato con un token OpenID

score 1 · Answer 1

Come notato, se esponi SSH, otterrai questo. Oltre ai concetti di base (disabilitare l'accesso root SSH, consentire solo l'autenticazione / disabilitazione password della chiave pubblica), disabilitare l'accesso root, consentire solo SSH v2, tagliare i cifrari consentiti a noti bene [0]), è possibile:

Inserisci SSH su una porta non standard (2201 o qualcosa del genere) in modo che i semplici scanner automatici non lo vedano. Questo almeno ridurrà il volume.
Eseguire qualcosa come fail2ban per bloccare i tentativi persistenti. Non è così utile come una volta, dal momento che sempre più scanner stanno randomizzando gli IP src.
Utilizza IPTables o ufw per bloccare i tentativi SSH da qualsiasi cosa diversa dalle reti autorizzate. Funziona alla grande se sai in anticipo da quali reti proverai, anche se devi consentire un'intera / 12 o qualcosa per coprire l'intero blocco modem via cavo / DSL.
Utilizzare la geolocalizzazione con GeoIP e IPtables o fail2ban per bloccare i tentativi da paesi che non hanno attività commerciali che tentano di accedere tramite ssh. Nella mia esperienza, questo di solito riduce in modo significativo ma non elimina il volume. YMMV.
Utilizza IPTables per valutare i tentativi SSH limite da qualsiasi IP specificato. Non è così utile come una volta, dal momento che sempre più scanner stanno randomizzando gli IP src.

NB. - sshd_config ha un'impostazione chiamata MaxStartups che sembra essere un meccanismo di limitazione della velocità. È un po ', ma ha una portata globale, quindi se lo script kiddie ti sta martellando, otterrai DoS'ed.

[0] Ci sono molte checklist per le migliori pratiche di sshd, ma ho visto pochissimi che affrontano il problema delle suite di crittografia come link

[1] Vedi: link

[2] Vedi: link

[3] Qualcosa come iptables -I INPUT -p tcp ! -s yourIPaddress --dport 22 -j DROP

[4] link

[5] Qualcosa come:

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource

iptables -A INPUT -m recent --update --seconds 600 --hitcount 3 --rttl --name SSH --rsource -j DROP

per eliminare più di 3 tentativi in 10 minuti. Puoi anche usare qualcosa come hashlimit per limitare la frequenza dei pacchetti da una particolare fonte piuttosto che da connessioni.

score 0 · Answer 2

Molti aggressori eseguono la scansione degli indirizzi IP e tentano di accedere se trovano qualcosa. Grazie al fatto di avere un indirizzo IP accessibile dall'esterno, il tuo server viene forzato brutalmente da (probabilmente) attacchi automatici. Ti consiglio di assicurarti di avere una password di accesso sicura o (ancora meglio) rendere ssh ligin possibile solo tramite una coppia di chiavi ssh

score 0 · Answer 3

Quando si attacca un server, viene ricondotto il primo passo e ciò implica la scansione delle porte. La maggior parte degli script kiddies eseguirà una scansione delle porte che fa esplodere la rete con richieste che cercano di vedere quali porte sono aperte. Stanno effettuando la scansione di porte piuttosto alte, quindi sembra che stiano cercando alcune applicazioni o porte aperte per server web. Assicurarsi che SSH, RDP e Telnet non siano aperti, se SSH è quindi assicurarsi che non sia una credenziale predefinita. Puoi sempre bloccare i loro indirizzi IP dall'effettuare richieste.

score 0 · Answer 4

Questo non è un errore onesto. Se lo fosse, chiunque si trovi dall'altra parte riconoscerebbe presto il proprio errore quando non è in grado di accedere o quando qualsiasi servizio necessita di qualcosa come un tunnel SSH smesso di funzionare. Non vedresti neanche un gazillion diversi nomi utente provati.

Inoltre non è probabile che sia mirato.

Piuttosto, per quanto sfortunato, in questi giorni è un dato di fatto su Internet che, consentendo il traffico, si ottiene traffico indesiderato. Ci scusiamo, ma il meglio che possiamo fare è cercare di affrontarlo in modo da ridurre al minimo l'inconveniente per gli utenti legittimi, evitando il più possibile il traffico indesiderato più vicino possibile alla rete (per ridurre sia la confusione di log che superficie di attacco).

Configurare il server SSH per applicare l'autenticazione a chiave pubblica può essere un buon consiglio in generale, ma non sarà di grande aiuto in questo caso, perché l'utente malintenzionato non sta nemmeno utilizzando nomi utente validi, per non parlare delle password. Quindi, mentre applicare l'autenticazione a chiave pubblica può essere una buona cosa da fare per altri motivi, non ti aiuterà con il problema questo .

Invece, suggerirei tre cose.

Installa fail2ban . Si trova nei repository Debian, praticamente installa e dimentica, e bloccherà automaticamente il traffico proveniente da specifici indirizzi IP per un periodo di tempo in cui ti colpiranno, in questo caso, troppi accessi non riusciti. È anche facile adattarsi alla tua situazione particolare se le regole di borsa non sono abbastanza adatte.
Limita il set di utenti che possono accedere tramite SSH. Per OpenSSH, puoi usare AllowGroups e AllowUsers in / etc / ssh / sshd_config per questo, possibilmente in combinazione con un blocco Match . In questo modo, anche se un utente malintenzionato riscontra un nome utente valido sul tuo sistema, deve trovarne uno che può accedere tramite SSH. Prendi in considerazione la possibilità di creare un gruppo separato per quegli utenti che possono accedere tramite SSH, quindi aggiungere gli utenti richiesti a quel gruppo e aggiungere AllowGroups groupname a sshd_config. Per lo meno dovresti configurare il tuo server SSH per rifiutare l'accesso direttamente come root .
Esegui SSH su una porta non standard. Questa non è una panacea e non è una misura di sicurezza di per sé, ma ti darà un po 'di respiro contro molte scansioni automatiche. Assicurati di modificare le regole del firewall, inclusa la configurazione per fail2ban, di conseguenza!