Có ai đó đang cố gắng hack vào máy chủ của tôi? Tôi có thể làm gì?

Vài tuần trước tôi đã đăng một câu hỏi ở đây về một số sshvấn đề tôi gặp phải với hộp Ubuntu 12.04. Chuyển nhanh đến ngày hôm nay và tôi đang cố gắng cho phép người khác truy cập vào máy, nhưng họ cứ bị lỗi mật khẩu. Tôi kiểm tra var/logs/auth.logđể biết thêm thông tin và tìm thấy điều này:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

Tôi có gần 10000 dòng mà tất cả dường như nói ít nhiều giống nhau (cũng có 4 tệp auth.log.gz, mà tôi giả sử là giống nhau hơn?). Đôi khi có một tên người dùng ngẫu nhiên được đính kèm theo yêu cầu,input_userauth_request: invalid user bash [preauth]

Tôi không biết nhiều về máy chủ, nhưng có vẻ như ai đó đang cố gắng truy cập vào máy chủ của tôi.

Tìm hiểu về cách chặn địa chỉ IP trong Ubuntu và kết thúc bằng việc này: iptables -A INPUT -s 211.110.xxx.x -j DROPnhưng sau khi chạy lệnh đó và kiểm tra nhật ký, tôi vẫn nhận được yêu cầu từ một IP này cứ sau 5 giây.

Làm thế nào tôi có thể tìm hiểu thêm về những gì đang diễn ra và giải quyết những yêu cầu liên tục này?

Từ những gì bạn mô tả, có vẻ như một cuộc tấn công tự động vào máy chủ của bạn. Hầu hết các cuộc tấn công là, trừ khi kẻ tấn công biết cá nhân bạn và đang giữ mối hận thù ...

Dù sao, bạn có thể muốn xem xét denyhosts, mà bạn có thể nhận được từ các repos thông thường. Nó có thể phân tích các lần thử lặp lại và sẽ chặn địa chỉ IP của họ. Bạn vẫn có thể nhận được một cái gì đó trong nhật ký của mình, nhưng ít nhất nó sẽ giúp giảm thiểu mọi lo ngại về bảo mật.

Để có thêm thông tin, tôi thực sự sẽ không bận tâm. Trừ khi họ là một kẻ nghiệp dư, họ sẽ sử dụng một máy chủ từ xa để thực hiện công việc bẩn thỉu của họ, điều này sẽ không cho bạn biết gì về con người thực sự của họ. Đặt cược tốt nhất của bạn là tìm quản trị viên cho dải IP (WHOIS là bạn của bạn ở đây) và cho họ biết rằng bạn đang nhận được rất nhiều nỗ lực truy cập từ IP đó. Họ có thể đủ tốt để làm một cái gì đó về nó.

Bạn không muốn thấy lần thử đăng nhập thất bại này trong nhật ký của mình, vì vậy bạn nên lọc IP này trong mạng.

Nếu bạn có bộ định tuyến hoặc tường lửa phần cứng riêng (không phải trên máy chủ), hãy sử dụng nó để chặn IP này. Bạn cũng có thể yêu cầu nhà cung cấp internet của bạn chặn nó.

Nếu máy chủ là VPS thì hãy yêu cầu nhà cung cấp VPS của bạn chặn IP này. Trong hầu hết các trường hợp, họ sẽ không từ chối yêu cầu trợ giúp của bạn, vì điều đó khiến họ không mất gì.

Tấn công từ một IP có thể dễ dàng giảm thiểu so với tấn công đến từ nhiều IP khác nhau. Để bảo vệ chống lại cuộc tấn công phân tán, bạn cần dịch vụ đặc biệt từ nhà cung cấp mạng mà bạn phải trả tiền. Ở cấp độ máy chủ, bạn có thể chiến đấu với Denyhosts hoặc Fail2ban. Fail2ban bảo vệ không chỉ ssh mà các dịch vụ khác. Nó sử dụng thêm một chút bộ nhớ. Fail2ban sử dụng iptables để chặn IP và Denyhost sử dụng tệp hosts.deny, cả hai đều sử dụng nhật ký để tìm các nỗ lực độc hại. Bạn cũng có thể định cấu hình iptables để giới hạn tốc độ ssh mà không dựa vào nhật ký.

Tất cả các câu trả lời tốt ở trên, tuy nhiên ...

Bạn đã viết "Tôi đang cố gắng cho phép người khác truy cập vào máy, nhưng họ cứ bị lỗi mật khẩu"

Vì hầu hết chúng ta đều sử dụng IP động với thời gian thuê DNS của nhà cung cấp hạn chế, hầu hết chúng ta đều sử dụng dịch vụ DNS động để truy cập máy chủ của mình khi đang di chuyển. Có thể là người dùng từ xa của bạn cũng đang sử dụng một dịch vụ như vậy để đến với bạn và đó là địa chỉ IOP mà bạn đang thấy?

BTW - rất nhiều tin tặc "khai thác cổng" dựa vào bạn làm những gì nhiều người dùng máy chủ gia đình làm, cụ thể là, họ không thay đổi id đăng nhập trạng thái phân phối mặc định. (thường là "quản trị viên" !!) và chỉ bắn qua tất cả các kết hợp mật khẩu có thể có

Tôi nghĩ rằng bạn sẽ thấy rằng 99% các nỗ lực hack đến từ Trung Quốc. Đây là những gì tôi đã tìm thấy. Việc báo cáo IP Trung Quốc về hack là vô ích vì có thể nhà nước đã bị xử phạt. Tôi không chỉ chặn IP, tôi chặn phạm vi IP đang ở. Sử dụng tùy chọn "mạng con" trên bộ định tuyến của bạn hoặc với IPTables trên hộp Linux của bạn, sử dụng mạng con hoặc "/ bit" (ví dụ: / 24). Trang này sẽ cung cấp cho bạn danh sách các khối IP theo quốc gia (có tệp tar.gz với tất cả): http://www.ipdeny.com/ipblocks/data/countries . Trang web của WHOIS https://whois-search.com/ cung cấp cho bạn một khởi đầu tốt khi xem quốc gia nào.

1 Trừ khi bạn cần không bao giờ mở các cổng tiêu chuẩn đến máy chủ của bạn vào mạng. Đặt bộ định tuyến lên để mở một cổng ngẫu nhiên như 53846 và chuyển tiếp nó tới cổng 22 của máy đó.

Tin tặc cơ hội có thể quét một loạt địa chỉ IP cho các cổng đã biết như 22 và thử khai thác.

Lần thứ 2 đánh trả anh. Nmap anh ta và tìm hiểu những gì anh ta đang chạy. Sau đó cố gắng để có được quyền truy cập vào của mình. Cũng như lửa trở về. Nếu anh ấy biết bạn đang ở bên anh ấy, anh ấy có thể dừng lại.

Bạn cũng có thể ping anh ta như điên như một phát súng cảnh báo.

lần thứ 3. Nếu bạn muốn vui vẻ, bạn có thể mở tài khoản khách. Hãy chắc chắn rằng không có đặc quyền nào cả. Nhốt nó vào thư mục nhà khách. Nếu bạn muốn dễ thương, bạn có thể thiết lập cấu trúc thư mục gốc giả để chạy xung quanh. Đặt mật khẩu là một mật khẩu phổ biến hoặc không có mật khẩu. Hãy đăng nhập.

Sau đó, bạn có thể sử dụng lệnh write và hỏi anh ta tại sao anh ta khăng khăng đập búa của bạn.