Recientemente configuró un servidor, necesita ayuda de seguridad

Navega tus respuestas
4

Configuré un servidor que ejecuta debian. Abrí el puerto 22 permitiendo el acceso a ssh en el puerto. Sigo recibiendo mensajes extraños en el registro de mi enrutador que dicen: [acceso LAN desde remoto] de 211.161.46.101:57201 a 10.xx.xx.xx:22

Busqué la dirección IP y dijo algo acerca de ser de Beijing. ¿Estoy siendo hackeado? Una vez cambié la contraseña en el inicio de sesión del servidor y ahora dice lo mismo pero con una dirección IP diferente.

    
pregunta Sean 17.03.2012 - 16:08
fuente

2 respuestas

8

Hay cuatro cosas que recomendaría para mantener su SSH más seguro y evitar ataques como ese. No puedo decir necesariamente si realmente se abrió camino hacia tu caja, o si simplemente lo intentó y falló, pero definitivamente cambia algunas de estas opciones para que sea mucho más difícil que algo como esto suceda en el futuro.

  • Deshabilitar inicios de sesión de raíz: desea asegurarse de que si alguien inicia sesión a través de SSH, no podrá tener acceso a la raíz de inmediato
  • Habilitar la autenticación de clave pública: Lamentablemente, esta parte tarda un poco más en implementarse, pero es mucho mejor y definitivamente ayudará a evitar inicios de sesión no autorizados.
  • Cambie el puerto predeterminado: Esto es un poco más de seguridad a través de la oscuridad, pero es más probable que se haya encontrado su servidor porque hay un escáner de bots aleatorio que escanea direcciones IP aleatorias para un puerto abierto (22). Si lo cambia por otra cosa (pero preferiblemente algo por debajo de 1024), es mucho menos probable que un escáner lo detecte.
  • Puede usar un programa de listas negras como DenyHosts u otros que le permitan incluir ciertas IP en la lista negra después de un cierto número de intentos fallidos.

En términos de ver si su servidor ha sido comprometido, verifique sus registros ssh. Le permitirá saber qué nombres de usuario se intentaron para iniciar sesión, y si tuvieron éxito al hacerlo.

    
respondido por el I'm A Person 17.03.2012 - 17:51
fuente
2

I'm A Person enumera algunos buenos pasos. Me gustaría agregar que el uso de la directiva AllowUsers en sshd_config le permite especificar que solo ciertos usuarios pueden iniciar sesión, por ejemplo. "AllowUsers imaperson" significa que imaperson puede iniciar sesión, pero cualquier intento de iniciar sesión en root, apache, postgres o cualquier otra cuenta existente en el sistema fallará, incluso con una contraseña correcta. Esto lleva las cosas un paso más allá que 'PermitRootLogin no'.

Para responder a tu pregunta más grande, no estás siendo hackeado per se; Estás siendo escaneado automáticamente. Continúa casi continuamente y a ciegas en Internet, por lo que el consejo de A Person sobre el puerto predeterminado es útil. Mi servidor personal tuvo aproximadamente 200 intentos en las últimas 12 horas, lo cual es normal o incluso bajo. Por lo general, es ruido y no un ataque dirigido a ti.

Intentos fallidos en las últimas 12 horas: 

145 root
 10 bin
  1 mail
  1 news
  1 postgres
    
respondido por el gowenfawr 20.03.2012 - 17:06
fuente

Lea otras preguntas en las etiquetas

¿El sitio web de una compañía es seguro contra sslstrip si no usa ssl en la página de inicio pero ssl en cualquier otro lugar? Evaluación de seguridad vs. Análisis de riesgos