intentos de inicio de sesión fallidos, Bruteforce

Navega tus respuestas
1

Tenemos alrededor de 60 intentos de inicio de sesión fallidos hoy. Y hay más y más.

Entonces, sí, el servidor está protegido con una clave SSH de 4096 bits (con frase de contraseña). El servidor tiene Fail2ban instalado y el inicio de sesión de raíz desactivado. 

Oct 23 23:42:30 **** sshd[9726]: Received disconnect from ***: 11:  [preauth]

Oct 24 17:15:13 *** sshd[10386]: Bad protocol version identification '6
Oct 23 23:42:30 **** sshd[9726]: Received disconnect from ***: 11:  [preauth]

Oct 24 17:15:13 *** sshd[10386]: Bad protocol version identification '6%pre%3%pre%1' from **** port 34017

Oct 24 03:57:30 * sshd[9929]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Oct 24 03:57:32 * sshd[9929]: Failed password for root from * port 58904 ssh2
Oct 24 03:57:32 * unix_chkpwd[9932]: password check failed for user (root)

Oct 24 03:57:35 ** sshd[9929]: PAM 1 more authentication failure; logname                                                                              = uid=0 euid=0 tty=ssh ruser= rhost=*  user=root

Oct 23 14:59:16 * sshd[9389]: reverse mapping checking getaddrinfo for s                                                                              aargo.com.mx [*] failed - POSSIBLE BREAK-IN ATTEMPT!

vps330608 sshd[8993]: Received disconnect from **: 11: Bye Bye [preauth]
vps330608 sshd[10393]: Received disconnect from **: 11: Closed due to user request. [preauth]

3%pre%1' from **** port 34017

Oct 24 03:57:30 * sshd[9929]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Oct 24 03:57:32 * sshd[9929]: Failed password for root from * port 58904 ssh2
Oct 24 03:57:32 * unix_chkpwd[9932]: password check failed for user (root)

Oct 24 03:57:35 ** sshd[9929]: PAM 1 more authentication failure; logname                                                                              = uid=0 euid=0 tty=ssh ruser= rhost=*  user=root

Oct 23 14:59:16 * sshd[9389]: reverse mapping checking getaddrinfo for s                                                                              aargo.com.mx [*] failed - POSSIBLE BREAK-IN ATTEMPT!

vps330608 sshd[8993]: Received disconnect from **: 11: Bye Bye [preauth]
vps330608 sshd[10393]: Received disconnect from **: 11: Closed due to user request. [preauth]

El ataque de fuerza bruta aún se está ejecutando ... Más de 400 líneas en / var / log / secure Fail2ban sigue prohibiendo las direcciones IP. La mayoría de los IP son de Italia / Francia. Servidor ubicado en Francia.

¿Alguna preocupación?

Saludos

    
pregunta Meerbi 24.10.2016 - 18:03
fuente

2 respuestas

1
  

¿Alguna preocupación?

Bueno, puede ser. Depende de qué tan abierta esté la IP del servidor para los inicios de sesión de ssh. ¿Está disponible para todo el internet?

Si es así, es altamente vulnerable a los ataques, puede ser una víctima fácil del ataque DDoS (o incluso DoS). Como el puerto 22 de esta IP (que es público) está abierto, cualquiera puede comunicarse con usted con fuentes falsificadas o incluso no falsificadas.

  

El servidor tiene Fail2ban instalado y el inicio de sesión de raíz desactivado.

fail2ban solo busca contraseñas incorrectas, reintentos y otros. Por lo tanto, cualquier organismo puede enviar una avalancha de paquetes SYN a su IP y su servidor puede abrumarse con esos SYN y enviarlos SYN / ACK a fuentes no existentes.

Algunas soluciones fáciles serían:

  • Bloquéelos al principio de su red, bloquéelos usando un firewall o un dispositivo en línea que pueda bloquear solicitudes de fuentes no deseadas.
  • Use IPtables, bloquee (elimine, no rechace) usando IPtables en su servidor.
  • Si se usa dentro de su red, solo tráigalo a una IP privada

Espero que esto ayude!

    
respondido por el Anirudh Malhotra 24.10.2016 - 18:50
fuente
1

He estado viendo sondas de inicio de sesión de ssh del tipo que describe en todos los servidores que tienen un servicio ssh orientado al público que se ejecuta en el puerto ssh estándar durante el tiempo que tengo servidores en línea (> 10 años). ¿Lo que está viendo realmente es un tráfico excepcional para su servidor, o es simplemente una "radiación de fondo de Internet"?

Acabo de aprender a vivir con el hecho de que un servidor que está visible en Internet atraerá una cierta cantidad de tráfico malicioso todos los días; es lo mismo con ejecutar un servidor web y ver las solicitudes extrañas que están diseñadas para explotar algunas debilidades de php, incluso si php no está instalado. Hasta ahora no han comido suficiente ancho de banda para que me importe mucho.

Además de las soluciones fáciles de Anriduh, aquí es probablemente la más fácil: noté que puede eliminar una gran cantidad de sondas ssh automáticas con solo cambiar su servicio ssh del puerto predeterminado a un puerto no estándar. Esto no ayuda, por supuesto, si estás lidiando con un ataque DoS, pero lo más probable es que no lo estés (obtendrás cientos de miles de intentos de conexión, no solo unos pocos cientos). Cambiar el puerto predeterminado tiene la ventaja adicional de filtrar los intentos de interrupción por determinación; Si alguien se toma el tiempo de escanear su máquina para encontrar su servicio ssh, en lugar de intentar conectarse al puerto 22 a ciegas, puede asumir que el intento de interrupción es un poco más serio.

Asegúrese de que su servidor ssh esté siempre actualizado, esa es probablemente la medida de seguridad más importante que puede tomar para evitar problemas.

    
respondido por el Pascal 24.10.2016 - 21:01
fuente

Lea otras preguntas en las etiquetas

¿Existe un riesgo adicional al pasar el token de sesión en el cuerpo del mensaje? Ventajas y desventajas del firewall multitenant proporcionado por el ISP