Creo que mi servidor está bajo ataque, ¿qué puedo hacer para detenerlo? [duplicar]

Navega tus respuestas
2

Tengo un pequeño servidor ssh utilizado principalmente para compartir archivos. Un par de personas más y yo lo uso y solo hay 3 usuarios. Recientemente revisé el archivo auth.log y hubo una cantidad ridícula de inicios de sesión de un conjunto de hosts con diferentes nombres de usuario. Creo que estoy siendo hackeado por algo como la hidra y no estoy seguro de qué hacer. Puse una porción del archivo de registro en pastebin: enlace

Tomé algo de información del archivo por razones de seguridad, pero todo lo que necesitas ver está ahí. Ninguno de estos nombres de usuario hace sonar una campana ni la ip.

    
pregunta smithy545 12.12.2012 - 02:15
fuente

4 respuestas

1

No creo que su servidor esté siendo atacado de manera muy efectiva, si se trata del ataque más común "conjeture la contraseña de la cuenta de root". Ese ataque simplemente no funcionará si tienes sshd configurado de forma segura (con PermitRootLogin no ).

Si se siente cómodo con la codificación en lenguaje C, puede hacer un "tarpit" de sshd siguiendo estas instrucciones . La última vez que hice eso, configuré mi servidor SSH para que se retrase durante 7 segundos con una contraseña incorrecta. No hice exactamente lo que decían las instrucciones, pero estaba bastante cerca. De todos modos, con una contraseña incorrecta, sshd duerme durante unos segundos, lo que realmente hace mella en los ciclos que los usuarios de contraseñas pueden eliminar, ya que envían solicitudes de forma secuencial y de un solo hilo.

Si todos configuramos nuestros servidores SSH de esta manera, la adivinación de la contraseña SSH seguirá el camino del dinosaurio.

    
respondido por el Bruce Ediger 12.12.2012 - 03:39
fuente
1

Bienvenido a internet. Hay cientos y miles de hosts que buscan servidores SSH e intentan forzarlos brutalmente a diario. No eres diferente. Hay algunas cosas que puedes hacer para protegerte.

Primero, desactive los inicios de sesión basados en contraseñas si es posible. El uso exclusivo de la autenticación de clave pública detendrá por completo la contraseña de forzado. Si debe usar la autenticación basada en contraseña, asegúrese de no tener cuentas / contraseñas predeterminadas, deshabilite el inicio de sesión de raíz y aplique la complejidad de la contraseña con algo como passwdqc o pam_cracklib .

Segundo, use fail2ban para monitorear los inicios de sesión incorrectos y prohibir temporalmente a los infractores. Las prohibiciones temporales son mejores que las permanentes, ya que puedes bloquearte accidentalmente y las prohibiciones permanentes saturarán las reglas de tu firewall.

    
respondido por el bonsaiviking 12.12.2012 - 04:35
fuente
0

Se parece a eso. Con la cantidad, el tiempo y todos los nombres de usuario son valores predeterminados genéricos. Si todos proceden de la misma ip, como aparece en el bit de los registros en pastebin, podría bloquear esa ip.

    
respondido por el karmet 12.12.2012 - 02:27
fuente
0

Acabo de saber que hay un paquete que cumple este propósito: enlace

Tenga en cuenta que esto no es 'Live'. Mira los archivos de registro y luego bloquea esa IP particular. En tu caso, esto funcionaría.

    
respondido por el sudhacker 12.12.2012 - 03:57
fuente

Lea otras preguntas en las etiquetas

¿Por qué deben atraparse las instrucciones de VMX? Al ver las conexiones de inicio a dominios aleatorios, ¿cómo puedo aislar a la aplicación responsable?