Un montón de pruebas SSH en mi registro. ¿Es normal?

Navega tus respuestas
2

Tengo una Raspberry Pi conectada a mi casa y el día 2 de este mes abrí el puerto 22 de mi enrutador para poder conectarlo desde cualquier lugar. Hoy por curiosidad, decidí ver el registro de la frambuesa pi y encontré líneas como esta:

Mar 29 07:00:34 raspberrypi sshd[10242]: Failed password for root from 59.63.192.199 port 45555 ssh2 Mar 29 07:00:36 raspberrypi sshd[10242]: Failed password for root from 59.63.192.199 port 45555 ssh2 Mar 29 07:00:38 raspberrypi sshd[10242]: Failed password for root from 59.63.192.199 port 45555 ssh2 Mar 29 07:00:39 raspberrypi sshd[10242]: Received disconnect from 59.63.192.199: 11: [preauth] Mar 29 07:00:39 raspberrypi sshd[10242]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.192.199 user=root Mar 29 07:00:50 raspberrypi sshd[10246]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.192.199 user=root Mar 29 07:00:51 raspberrypi sshd[10246]: Failed password for root from 59.63.192.199 port 38807 ssh2 Mar 29 07:00:53 raspberrypi sshd[10246]: Failed password for root from 59.63.192.199 port 38807 ssh2 Mar 29 07:00:55 raspberrypi sshd[10246]: Failed password for root from 59.63.192.199 port 38807 ssh2

Raspberry pi ni siquiera tiene un usuario root, pero me temo. ¿Hay alguna posibilidad de que algo haya sido invadido? Estoy aprendiendo a usar la frambuesa pi y hoy iba a configurar una clave privada y deshabilitar el inicio de sesión SSH basado en contraseña. También voy a formatear la tarjeta SD y reinstalar Raspbian, solo para estar seguro.

La pregunta es: No lo recuerdo, pero PIENSO que el puerto 22 no estaba abierto al momento de este inicio de sesión. Además, ¿qué significan esos números de puerto? Dice el puerto 38807 por ejemplo. ¿Dónde está este puerto? ¿No están intentando conectarse a 22?

    
pregunta mafagafo 04.04.2015 - 05:58
fuente

2 respuestas

1

Esta pregunta es similar, pero no exactamente igual, como una pregunta que tuve sobre mi frambuesa pi: Inicios de sesión fallidos muy espaciados en auth.log

Desde el registro, parece que alguien está tratando de forzar la contraseña de la raíz. (Software disponible gratuitamente como Hydra hará esto). Los puertos que se enumeran después de la dirección IP 59.63.192.199 son los puertos en la computadora del atacante, por lo que no tienen que ser 22, su destino será 22 (ssh) pero su origen no tiene por qué serlo.

La dirección IP 59.63.192.199 proviene de algún lugar de China; una búsqueda "whois" enumera esta dirección como perteneciente a un bloque asociado con la red de la provincia de Jiangxi. Esta IP responde al ping, pero parece que no tiene ninguno de sus primeros 1000 puertos abiertos para que pueda volver a ...

Por suerte para ti, el atacante no sabe que tienes una pi frambuesa, por lo que están intentando "root" y no "pi".

Si estás preocupado por esto, puedes hacer algunas cosas para bloquear tu pi, pero aún así ejecutar un servidor ssh: 1) instalar ufw; 2) instalar fail2ban; 3) usa las teclas ssh

ufw es un firewall, que generalmente es bueno tener, y puede usarlo para poner en una lista negra las direcciones IP no deseadas. fail2ban automáticamente pondrá en una lista negra a las personas que intentan atacarte con fuerza bruta. Lo mejor de todo sería cambiar a usar ssh-keys y no permitir la entrada de nombre de usuario / contraseña por completo. También puede cambiar el servidor ssh a un puerto no estándar (use algo por encima de 1000) para evitar muchas exploraciones de rutina.

    
respondido por el hft 04.04.2015 - 06:21
fuente
1

Ya hay muchas preguntas sobre esto, aquí, en Serverfault y Unix & Linux. Estoy en el móvil, así que, lamentablemente, no puedo vincularlos, pero si buscas "fuerza bruta de SSH", encontrarás una pregunta altamente votada en cada uno de estos sitios.

Básicamente, deberías dejar de pensar que tu "Raspberry Pi" (joder, estoy empezando a odiar este nombre) es algo especial. No lo es, es solo una máquina Linux estándar y todas las preguntas y procedimientos de seguridad que se aplican a las máquinas Linux también se aplican a ella.

Una vez que comience a pensar correctamente, puede explorar las muchas preguntas que tiene la red SE sobre la seguridad de los servidores.

Para su caso particular, una solución rápida sería cambiar a las claves y deshabilitar la autenticación de la contraseña por completo (que resuelve el problema de seguridad, por lo que los atacantes no pueden hacer ningún daño), y cambiar el puerto SSH a algo que no sea estándar, como 2222, para que tengas menos ruido en tus registros (a pesar de cambiar las teclas, estos intentos automáticos de interrupción continuarán, y aunque ya no puedan entrar, seguirán inundando tus registros).

    
respondido por el user42178 04.04.2015 - 11:10
fuente

Lea otras preguntas en las etiquetas

Cómo restablecer una autenticación de segundo factor sin comprometer el proceso de autenticación Obteniendo acceso de root en Ubuntu 14.04 [cerrado]