wake-up-neo.net

Jemand versucht, den SSH-Zugriff auf meinen Server brutal zu erzwingen

Zufällig habe ich mir das SSH-Protokoll meines Servers (/var/log/auth.log) angesehen und festgestellt, dass ständig jemand versucht, Zugriff zu erhalten:

Sep  7 13:03:45 virt01 sshd[14674]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=116.31.116.42  user=root
Sep  7 13:03:48 virt01 sshd[14674]: Failed password for root from 116.31.116.42 port 13423 ssh2
Sep  7 13:03:52 virt01 sshd[14674]: message repeated 2 times: [ Failed password for root from 116.31.116.42 port 13423 ssh2]
Sep  7 13:03:52 virt01 sshd[14674]: Received disconnect from 116.31.116.42: 11:  [preauth]

Dies geschieht einige Male pro Minute und dauert schon lange an, ohne dass ich davon weiß.

Frage Sollte ich mir darüber Sorgen machen, wenn ja: Was soll ich dagegen tun?

sshhacking
20
Vingtoft

Leider ist dies absolut normal und etwas, das jeder SSH-Server erlebt. Willkommen im Internet.

Solange Sie Ihren Server ordnungsgemäß sichern (z. B. auf dem neuesten Stand halten, nur schlüsselbasierte Anmeldung zulassen, Root-SSH-Zugriff deaktivieren), sollte dies kein Problem sein, aber Sie können dies mit etwas wie fail2ban und andere Ansätze wie IP-Whitelisting, Ändern von Ports und ähnliches, wo dies möglich und angemessen ist.

62
Sven
  1. Blockieren Sie die IP mithilfe Ihrer Firewall (iptables oder was auch immer Ihr Dienst bereitstellt). Ja, sie können die IPs ändern, aber sie müssen die Arbeit erledigen
  2. Wenn Sie über eine externe Firewall verfügen (d. H. Mit der AWS-Konsole können Sie Zugriffsregeln über eine Webseite festlegen), sollten Sie Port 22 auf NUR Ihre IP-Adresse beschränken. In diesem Fall müssen Sie nicht mit fail2ban herumspielen
  3. Wechseln Sie wie in den Kommentaren erwähnt zu schlüsselbasierte Authentifizierung und deaktivieren Sie die Kennwortauthentifizierung

  4. Root-Anmeldungen deaktivieren . Fügen Sie dies zu /etc/ssh/sshd_config

    PermitRootLogin no

    Lass sie einfach an der Wurzel hämmern, was sie wollen. Sie werden dann nie so in die Quere kommen.

22
Machavity

Neben der Sicherung des Servers, wie Sven betont, ist es eines der besten Dinge, die zu tun sind (insbesondere, wenn ssh nur für Sie, den Administrator, verfügbar ist), den sshd-Port vom Standardwert 22 Zu entfernen.

Es ist nicht nur einfach (insbesondere wenn Sie einen neuen Port in Ihren ~/.ssh/config Einfügen, damit Sie ihn nicht jedes Mal eingeben müssen) und es stoppt 99% dieser automatisierten Scans, sodass Sie sie nicht einmal sehen. Es hilft aber auch etwas, selbst wenn eine 0-Tage-SSH-Sicherheitslücke entdeckt wird, die Ihnen mehr Zeit lässt, oder wenn Ihr Schlüssel durchgesickert ist usw.

10
Matija Nalis

Dieses ziemlich normale Verhalten. Ich bekomme jeden Tag mehrere Tausend davon, und ich gehe davon aus, dass selbst das im Vergleich zu großen Unternehmen winzig ist.

Aber müssen Sie sich Sorgen machen?

  • Haben Sie fail2ban Installiert?
  • Haben Sie die Root-SSH-Anmeldung deaktiviert?
  • Haben Sie den Benutzer www-data für die SSH-Anmeldung gesperrt?
  • (optional) Haben Sie deaktiviertes passwortbasiertes Login zugunsten des Logins mit öffentlichem Schlüssel?
  • (optional) Haben Sie den SSH-Port von 22 auf etwas anderes geändert?
  • (optional) Haben Sie ein TOTP-Pam-Modul für die Anmeldung hinzugefügt?

Wenn ja, brauchen Sie sich keine Sorgen zu machen. Diese Angriffe sind normalerweise wörterbuchbasierte Angriffe auf gängige Unix-Benutzernamen. Zum Beispiel sehe ich häufig, dass diese "Benutzer" versuchen, sich anzumelden:

  • root
  • www-Daten
  • prüfung
  • administrator

Ich wirklich empfehle die Installation von fail2ban, Da dadurch jeder Benutzer, der versucht, sich basierend auf seiner IP-Adresse anzumelden, die Rate begrenzt wird, sollte allein der größte Teil des böswilligen Datenverkehrs herausgefiltert werden. Im Gegensatz zu dem, was andere sagen, bin ich kein Befürworter von IP-basiertem Blockieren. Das scheint eine sehr grobe Lösung für ein sehr feines Problem zu sein. Außerdem steuern diese Angreifer normalerweise mehrere IP-Adressen. Selbst wenn Sie mehrere (oder sogar mehrere IP-Blöcke) blockieren, gibt es keine Garantie dafür, dass Sie alle blockieren. Fail2ban ist jedoch für diese Szenarien sehr flexibel.

7
RemusKaos