Có phải là bình thường để có được hàng trăm nỗ lực đột nhập mỗi ngày?

Tôi vừa kiểm tra máy chủ của mình /var/log/auth.logvà thấy rằng tôi nhận được hơn 500 thông báo lỗi mật khẩu / lần đột nhập mỗi ngày! Trang web của tôi nhỏ và URL của nó tối nghĩa. Điều này có bình thường không? Tôi có nên dùng biện pháp nào không?

Trong internet ngày nay điều này là khá bình thường đáng buồn. Có rất nhiều botnet cố gắng đăng nhập vào từng máy chủ mà họ tìm thấy trong toàn bộ mạng IP. Thông thường, họ sử dụng các cuộc tấn công từ điển đơn giản vào các tài khoản nổi tiếng (như tài khoản root hoặc ứng dụng nhất định).

Các mục tiêu tấn công không được tìm thấy thông qua các mục nhập của Google hoặc DNS, nhưng những kẻ tấn công chỉ thử mọi địa chỉ IP trong một mạng con nhất định (ví dụ: các công ty lưu trữ máy chủ gốc đã biết). Vì vậy, không có vấn đề gì khi URL của bạn (do đó mục DNS) khá tối nghĩa.

Đó là lý do tại sao nó rất quan trọng đối với:

• không cho phép root-login vào SSH ( howto )
• sử dụng mật khẩu mạnh ở mọi nơi (cũng trong các ứng dụng web của bạn)
• cho SSH, sử dụng xác thực khóa công khai nếu có thể và vô hiệu hóa mật khẩu auth hoàn toàn ( howto )

Ngoài ra, bạn có thể cài đặt fail2ban để quét authlog và nếu nó tìm thấy một số lần thử đăng nhập thất bại nhất định từ IP, nó sẽ tiến hành thêm IP đó vào /etc/hosts.denyhoặc iptables / netfilter để khóa kẻ tấn công trong vài phút.

Ngoài các cuộc tấn công SSH, việc quét máy chủ web của bạn để tìm các ứng dụng web dễ bị tổn thương (một số ứng dụng viết blog, CMS, phpmyadmin, v.v.) cũng trở nên phổ biến. Vì vậy, hãy đảm bảo giữ cho những người cập nhật và được cấu hình an toàn quá!

Một vài 100 là ổn ... Tháng trước tôi đã tìm thấy một trong những máy chủ của mình có 40k lần thử thất bại. Tôi đã vượt qua những rắc rối của âm mưu chúng: Bản đồ

Khi tôi thay đổi cổng ssh và thực hiện Port Knocking, số lượng giảm xuống 0 :-)

Tôi cho một người sử dụng một "tarpit" ngoài việc chỉ cho phép xác thực khóa công khai và không cho phép đăng nhập gốc.

Trong netfilterđó có một recentmô-đun, bạn có thể sử dụng với ( INPUTchuỗi):

iptables -A INPUT -i if0 -p tcp --dport 22 -m state --state NEW -m recent --set --name tarpit --rsource
iptables -A INPUT -i if0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 6 --name tarpit --rsource -j DROP
iptables -A INPUT -i if0 -p tcp --dport 22 -j ACCEPT

Điều đó là, mọi nỗ lực kết nối với cổng 22 đều được recentmô-đun liệt kê với IP và một số nội dung khác dưới tên "tarpit" (nếu bạn tò mò, hãy nhìn vào /proc/net/xt_recent/tarpit). Rõ ràng bạn có thể sử dụng tên khác.

Để liệt kê hoặc hủy bỏ IP sử dụng:

echo "+123.123.123.123" > /proc/net/xt_recent/tarpit
echo "-123.123.123.123" > /proc/net/xt_recent/tarpit

Tốc độ này giới hạn các nỗ lực xuống còn 5 trong 300 giây. Xin lưu ý rằng người dùng có kết nối hiện tại không bị làm phiền bởi giới hạn đó, vì họ đã có kết nối được thiết lập và được phép tạo thêm (thậm chí vượt quá giới hạn tốc độ).

Điều chỉnh các quy tắc theo ý thích của bạn nhưng đảm bảo rằng chúng được thêm vào theo thứ tự đó (nghĩa là khi thêm thì sử dụng chúng theo thứ tự này, khi chèn sau đó theo thứ tự ngược lại).

Điều này cắt giảm tiếng ồn vô cùng. Nó cũng cung cấp bảo mật thực tế (chống lại vũ phu) không giống như bảo mật nhận thức khi thay đổi cổng. Tuy nhiên, tôi vẫn khuyên bạn nên thay đổi cổng nếu điều đó khả thi trong môi trường của bạn. Nó cũng sẽ giảm mức độ tiếng ồn rất nhiều ...

Bạn vẫn có thể kết hợp điều này với fail2ban, mặc dù tôi đã chạy tốt mà không có nó và chỉ có các quy tắc trên.

BIÊN TẬP:

Bạn có thể tự khóa mình bằng cách này, vì vậy bạn có thể thêm một cái gì đó như sau cho phép bạn xóa lệnh cấm bằng cách gõ vào một cổng cụ thể:

iptables -A INPUT -i if0 -p tcp --dport <knockport> -m state --state NEW -m recent --name tarpit --remove

Bạn có thể triển khai fail2ban hoặc các phương thức tương tự như khóa SSH vào IP của bạn. Đáng buồn là các bot cố gắng truy cập bruteforce mọi lúc nên nó khá bình thường, bạn cần đảm bảo rằng bạn có một mật khẩu tốt.

Có . Ngày nay nó khá bình thường.

Vui lòng chỉ sử dụng xác thực khóa công khai cho mục đích quản trị nếu có thể. Tạo khóa riêng trên máy trạm của bạn:

$ ssh-keygen -t dsa

Sao chép nội dung của ~ / .ssh / id_dsa.pub cho máy chủ của bạn ~ / .ssh / ủy quyền_key (và /root/.ssh/authorized_keys, nếu bạn yêu cầu đăng nhập root trực tiếp).

Định cấu hình máy chủ của bạn / etc / ssh / sshd_config để chỉ chấp nhận xác thực khóa chung:

PubkeyAuthentication yes
PasswordAuthentication no
PermitRootLogin without-password

Nếu bạn có quá nhiều máy chủ, bạn có thể sử dụng Puppet để chạy các khóa công khai và cấu hình cho chúng.

Nhìn vào Denyhosts và fail2ban để chặn các lần đăng nhập SSH lặp đi lặp lại và xem Snort nếu bạn yêu cầu IDS / IPS đầy đủ.

sử dụng http://denyhosts.sourceforge.net/

và có, bạn nên sử dụng xác thực khóa công khai và vô hiệu hóa mật khẩu auth.

Các nỗ lực được cơ giới hóa, vì vậy các con số có vẻ ổn (vâng, chúng cao so với một số trang web và thấp so với các trang web khác). Bạn nên thực hiện các bước bạn thường phải làm: Bạn coi các trang web của mình là mục tiêu tấn công mỗi ngày, ngay cả khi bạn không phát hiện ra một cuộc tấn công; không phát hiện một cuộc tấn công, không có nghĩa là nó không tồn tại .

Tôi chỉ nói rằng chỉ nhận được 500 là loại thấp.

Tại một chủ nhân trước đây, một trong những nhà nghiên cứu bảo mật máy tính đã gọi dòng đột phá liên tục là "internet tương đương với tiếng ồn vũ trụ ". Ông mô tả nó như một luồng lưu lượng độc hại liên tục, bình thường đang tìm kiếm các hệ thống trên internet và tự động khai thác các tập lệnh để cố gắng chiếm quyền điều khiển hệ thống. Bot-net và các hệ thống độc hại khác sẽ liên tục quét và quét lại internet cho các hệ thống dễ bị tổn thương giống như SETI.

Đúng,

Điều này là phổ biến, nhưng điều đó không có nghĩa là bạn không nên chiến đấu với cuộc chiến tốt. Dưới đây là một số bước về cách bạn có thể làm cho máy chủ của mình an toàn hơn.

Tránh các địa chỉ IP liên quan đến DNS

Bạn có thể giảm đáng kể số này trong môi trường chia sẻ hoặc colocation bằng cách vô hiệu hóa quyền truy cập SSH trên bất kỳ địa chỉ IP nào được liên kết với tên miền. Các địa chỉ IP không thuộc miền không được liệt kê sẽ nhận được ít lưu lượng truy cập loại này, vì vậy hãy mua IP chưa niêm yết và chỉ sử dụng IP này để truy cập SSH.

Sử dụng VPN cho tất cả quyền truy cập SSH

Nếu bạn đang ở trong một môi trường mà bạn có thể triển khai IPsec / VPN đến một mạng riêng trong môi trường máy chủ của mình, thì điều này là lý tưởng. Vô hiệu hóa tất cả truy cập Internet SSH, đảm bảo bạn có giải pháp tắt đèn tích hợp. Thiết lập VPN của bạn và chỉ cho phép truy cập SSH từ VPN của bạn.

Thực hiện quy tắc địa chỉ IP để truy cập SSH

Nếu Vlan không phải là một tùy chọn cấu hình bộ định tuyến của bạn hoặc quy tắc tường lửa để chỉ cho phép kết nối SSH từ một dải địa chỉ IP đã biết.

Nếu bạn làm theo các bước này, bạn sẽ ngủ dễ dàng hơn nhiều vào ban đêm khi biết ai đó sẽ phải thỏa hiệp mạng công ty lưu trữ của bạn để có quyền truy cập vào máy chủ thông qua SSH.

Khá bình thường khi thấy hàng trăm kết nối SSH bị lỗi.

Nếu bạn có tùy chọn, tôi chỉ cần thay đổi cổng SSH của mình thành một cái gì đó không chuẩn. Nó không nhất thiết làm cho máy chủ của bạn an toàn hơn nữa, nhưng nó chắc chắn sẽ dọn sạch các bản ghi (và cho phép bạn thấy bất kỳ ai cố tình xâm nhập!)

Ngoài việc sử dụng cơ chế khóa tự động như fail2ban, bạn còn có một tùy chọn khác: thực sự liên hệ với địa chỉ lạm dụng ISP của kẻ tấn công. Nó có vẻ hoàn toàn vô ích nhưng trong trường hợp kịch bản-kiddie, ISP của họ không sẵn sàng hành động với họ.

Để tìm địa chỉ lạm dụng, hãy bắt đầu với arin.net và tra cứu địa chỉ IP bằng whois. Bạn có thể được chuyển hướng đến một cơ quan đăng ký khu vực khác nhưng cuối cùng bạn có thể tìm thấy ISP chịu trách nhiệm cho khối IP có chứa địa chỉ. Tìm địa chỉ lạm dụng @ hoặc chỉ cần gửi thư liên hệ kỹ thuật.

Gửi cho họ một tin nhắn lịch sự với các mục nhập tệp nhật ký có liên quan (đảm bảo xóa mọi thông tin cá nhân) và yêu cầu họ thực hiện hành động chống lại máy chủ vi phạm.

Tôi khuyên bạn không nên sử dụng fail2ban mà chạy SSH (và những người khác) trên một cổng không chuẩn. Tôi không tin vào bảo mật bằng cách che khuất nhưng tôi nghĩ rằng đây là một cách tuyệt vời để giảm tiếng ồn trong nhật ký của bạn.

Đăng nhập thất bại trên các cổng không chuẩn sẽ có rất ít và xa và cũng có thể chỉ ra các cuộc tấn công được nhắm mục tiêu nhiều hơn.

Bạn thậm chí có thể tiến thêm một bước để cài đặt một honeypot SSH như Kippo để 'cho phép' các bệnh ung thư và xem họ sẽ làm gì khi có cơ hội.

Vâng, đó là bình thường. Những gì tôi nói với khách hàng trong tình huống của bạn với các trang web nhỏ.

Luôn luôn sẵn sàng để bị hack.

Có một bản sao của trang web của bạn trên một máy chủ dev. Đây có thể là máy tính để bàn Windows của bạn bằng XAMPP mà bạn có thể nhận miễn phí.

LUÔN LUÔN thay đổi máy chủ dev của bạn sau đó tải chúng lên trang web trực tiếp của bạn. Nếu đó là một CMS như Wordpress, hãy tạo bài đăng của bạn trên máy chủ dev sau đó sao chép và dán chúng vào máy chủ trực tiếp.

KHÔNG BAO GIỜ tải xuống bất cứ thứ gì từ trang web trực tiếp của bạn đến máy chủ dev của bạn.

Theo dõi các trang web của bạn thường xuyên để biết bất kỳ thay đổi nào bạn không làm. Cụ thể, các liên kết ẩn với thuốc hoặc các sản phẩm 'tăng cường'. Bạn có thể tìm thấy rất nhiều trình duyệt và các chương trình sẽ làm điều này cho bạn.

Nếu bạn bị xâm phạm. Thông báo cho máy chủ của bạn, xóa mọi thứ, thay đổi tất cả mật khẩu và tải lên máy chủ dev sạch của bạn lên máy chủ web hiện đang trống. Làm việc với chủ nhà của bạn để ngăn ngừa tái phát.

Bạn không cần một nhóm bảo mật cho một trang web nhỏ. Đó là những gì chủ nhà của bạn có nghĩa vụ phải cung cấp. Nếu không, hãy lấy một máy chủ khác dễ thực hiện hơn khi bạn có máy chủ dev thay vì cố gắng di chuyển máy chủ trực tiếp.

Hi vọng điêu nay co ich.

Một cách khác để ngăn chặn nó (vì cá nhân tôi không muốn di chuyển cổng SSH): quyết định xem bạn có thể liệt kê tất cả các mạng mà bạn muốn đăng nhập hay không, sau đó chỉ cho phép những mạng này truy cập vào cổng SSH của bạn.

Các mục WHOIS của các ISP địa phương đã giúp tôi giảm các cuộc tấn công xuống còn 1-2 lần đăng nhập mỗi tháng (hồi đó là khoảng 1k / ngày). Tôi đã phát hiện ra những người bằng cách vẫn sử dụng denyhosts .

Ngoài các đề xuất tuyệt vời khác mà bạn đã nhận được, tôi cũng muốn sử dụng chỉ thị AllowUsers nếu phù hợp với máy chủ nhất định. Điều này chỉ cho phép người dùng được chỉ định đăng nhập qua SSH, giúp giảm đáng kể khả năng truy cập thông qua tài khoản khách / dịch vụ / hệ thống được định cấu hình không an toàn.

Thí dụ:

AllowUsers admin jsmith jdoe

Tùy chọn AllowUsers chỉ định và kiểm soát những người dùng nào có thể truy cập dịch vụ ssh. Nhiều người dùng có thể được chỉ định, cách nhau bởi khoảng trắng.

Vâng, đó là bình thường. Bạn có thể :

• Giảm cơ hội tấn công bằng cách sử dụng fwknop

Fwknop là một trong những triển khai gõ cổng tốt hơn bởi vì nó không thể giả mạo và thực sự xác thực trái ngược với việc chỉ cho phép kết nối.

• Bạn có thể thay đổi cổng mà Openssh sử dụng nhưng bạn không thực sự cải thiện bảo mật.

• Tăng cường xác thực ssh bằng Google-Authenticator hoặc wikid

Điều này sẽ bảo vệ các cuộc tấn công dựa trên mật khẩu và khả năng kẻ tấn công được xác định / tấn công nhắm mục tiêu xâm phạm máy quản trị của bạn và đánh cắp tổ hợp ssh-key & password của bạn.

Chỉ cần nhìn vào comp pwn2own mới nhất để thấy kẻ tấn công lành nghề dễ dàng thỏa hiệp hộp quản trị được vá hoàn toàn của bạn dễ dàng như thế nào.

Đáng buồn là điều này là khá bình thường. Bạn nên xem xét việc thêm một cái gì đó như fail2ban vào hệ thống của bạn để tự động phát hiện và cấm những kẻ tấn công. Nếu bạn chưa làm như vậy, bạn cũng nên xem xét chỉ sử dụng ssh với khóa chung và không cho phép đăng nhập root qua ssh. Nếu sử dụng ftp để truyền tệp vào hệ thống, hãy xem xét sử dụng scp / sftp thay thế.

Tôi đã thực hiện gõ cổng, và có một vài thăm dò mỗi ngày. Họ không nhận được kết nối, vì vậy họ đi. Tôi đăng nhập và báo cáo tất cả các truy cập vào các cổng liên quan.

Tôi cũng đã chạy fail2ban với Shorewall như một tường lửa để tạm thời liệt vào danh sách đen những kẻ tấn công liên tục.

Nếu bạn không cần truy cập Internet để SSH vô hiệu hóa nó. Nếu bạn có một vài địa chỉ đã biết cần truy cập từ xa, hãy giới hạn quyền truy cập vào các địa chỉ đó.

Hạn chế quyền truy cập vào các khóa được ủy quyền cũng có thể hữu ích.

Tôi sử dụng pam_ablđể tạm thời danh sách đen ung thư vũ phu, và nó hoạt động rất tốt. Tôi nghĩ sẽ tốt hơn khi có ủy quyền trong PAM bằng cơ sở dữ liệu riêng của mình thay vì phụ thuộc vào hosts.denyhoặc iptables.

Một điểm cộng nữa là pam_ablkhông phụ thuộc vào việc quét các tệp nhật ký.

Nó hoàn toàn bình thường những ngày này.
Bạn có thể thiết lập giới hạn "nổ" trên tường lửa cho các kết nối mới đến trên cổng SSH
hoặc cài đặt một trong nhiều trình phân tích cú pháp nhật ký a'la fail2ban hoặc thay đổi cổng SSH;).

Cái cuối cùng là cái dễ nhất. Trên các máy tải nặng, những nỗ lực đột nhập như vậy có thể ảnh hưởng thực sự xấu đến toàn bộ hệ thống.

-
Trân trọng,
Robert

Vâng, đó là bình thường.

Tôi vừa thay đổi cổng ssh khỏi tiêu chuẩn 22. Máy chủ của tôi, quy tắc của tôi :) chỉ cần chỉnh sửa / etc / ssh / sshd_config, thay đổi cổng và khởi động lại dịch vụ. Mặt trái duy nhất là bạn phải nhớ thêm cổng đó vào cấu hình cho mọi máy khách ssh bạn sử dụng.

• Vô hiệu hóa đăng nhập root (Trong mọi người dùng root hệ thống linux tồn tại để bot có thể dễ dàng đoán tên người dùng). Sau khi đăng nhập như người dùng bình thường, bạn có thể chuyển sang root bằng su hoặc sudo.

• thay đổi cổng mặc định từ 22

• Chỉ cho phép truy cập ssh từ ip đã biết

• Sử dụng mật khẩu alpha-số mạnh cho người dùng có quyền truy cập ssh