Connessione SSH sospetta

0

questa è la situazione:

  • vps con debian 8x32 vergine (nuovo modello del repository del provider);
  • utente "esotico" e "password" strong;
  • 30 secondi dopo: comando (apt-get update);
  • 30 secondi dopo: comando (netstat);

  • netstat show:

    • 1 x tcp ha stabilito la connessione sshd (il mio client ssh remoto);
    • 1 x connessione sshd tcp ESTABLISHED (ip cinese) (piccolo attacco cardiaco);
  • 30 secondi dopo: comando (cat /var/log.auth /);

  • log contiene:
  • solo la mia connessione remota "Accettata";
  • diversi tentativi di connessione non validi (forza bruta ssh);

  • 30 secondi dopo:

  • installato fail2ban per ssh e altri 4 servizi;
  • ban permanente configurato (valore -1);
  • populated hosts.deny con alcuni ip che stanno attaccando;

  • 2 giorni dopo: * log revision var / log / auth * | grep [Accettato, non valido, rifiutato, ecc.]

Tutto indica che nessun attacco ha avuto successo; Gli host ips.deny vengono espulsi perfettamente; Fail2ban funziona perfettamente; Gli attacchi di solo ip sono diminuiti; Ora i registri mostrano solo gli attacchi con ip e non con 200 attacchi da ip; Tutte le connessioni "Accettate" dei log sono corrette (solo io con il mio client remoto sono riuscito a collegarmi, apparentemente);

So che la prima cosa è disattivare root, password, ecc. e utilizzare la chiave pubblica e altre cose, ma la mia domanda si riferisce allo stato "ESTABLISHED" di una connessione SSH mostrata da netstat, ovvero:

  • È possibile che un risultato di netstat ESTABLISHED sia stato assunto ma non sia stato prodotto?

  • Il risultato di ESTABLISHED nestat indica definitivamente e definitivamente che la macchina è stata compromessa?

  • È possibile che l'attaccante stia giocando con SYN o SYN-ACK modificati per simulare una connessione STABLISHED falsa?

Extra: ho visto le connessioni ESTABLISHED 4 volte solo dopo essere stato bannato permanentemente da fail2ban e dopo 2 secondi sparare nuovamente netstat e vedere come la nonesione è svanita come un ninja;

Grazie in anticipo.

    
posta vancloud 19.11.2017 - 12:20
fonte

1 risposta

1

Una connessione "ESTABLISHED" vista nell'output di un comando netstat si riferisce solo alla connessione TCP. Se la porta accettava le connessioni da qualsiasi IP remoto, chiunque poteva stabilire una sessione TCP, dove il daemon SSH chiedeva login e password, ma non significa che una sessione SSH è stata stabilita.

Potresti provare facilmente da solo: accedi al tuo computer tramite SSH e poi, dal tuo PC locale, usi telnet, netcat, socat o qualsiasi altro strumento simile per aprire una sessione TCP sul computer remoto sulla porta 22. Quindi in sessione, ottieni l'output dal netstat: vedrai 2 connessioni dal tuo PC locale come stabili, quella con una sessione SSH e la pura connessione TCP dal telnet.

Cerca in /var/log/auth.log per le sessioni SSH. Prova a cercare "sessione aperta", che dovrebbe corrispondere solo alle tue connessioni.

Inoltre, raccomanderei di fare alcuni passaggi di configurazione aggiuntivi sul VPS: in primo luogo, se il PC locale ha un indirizzo IP fisso e si prevede di connettersi al VPS da quel PC, limitare tramite iptables per consentire le connessioni solo da IP (NOTA: sbagliare potrebbe bloccarti dal tuo VPS, attenzione necessaria). Se non è riparato o è necessario connettersi da altre fonti, tale opzione è fuori dalla lista. Secondo: ridurre bruteforce (fail2ban è bello, ma fa affidamento sugli eventi registrati per funzionare, quindi avrai sempre qualche tentativo da nuove fonti), cambierei la porta SSH da 22 a qualcos'altro.

    
risposta data 19.11.2017 - 16:32
fonte

Leggi altre domande sui tag