Estoy usando una licencia comercial paga para un proveedor de VPN, que uso en dos cajas, un FreeBSD y un BackBox de Linux.
Cuando estoy conectado a este proxy, mi interfaz recibe una IP pública del proveedor de VPN.
El enrutador de mi casa no tiene puertos abiertos expuestos a Internet (he probado los 65 mil puertos con Nmap, provenientes de una IP diferente). Tampoco está configurado para realizar ningún reenvío de puertos, y no he habilitado DMZ.
Mirando mi /var/log/auth.log
noté IPs del dominio público tratando de fuerza bruta mi SSH. Esto solo sucede cuando se conecta a la VPN.
¿Cómo es posible que las direcciones IP externas lleguen a mis cuadros de NAT? Mi única explicación es que están llegando a través de mi conexión VPN, pero si ese es el caso, ¿por qué estas IP no están en la misma subred que la de mi proveedor proxy?
Idealmente, me gustaría poder investigar esto más a fondo; Si alguien tiene algún consejo sobre cómo podría realizar un análisis / análisis forense adicional, o proporcionar lecturas adicionales, estaría muy agradecido.
He pegado debajo de algunos fragmentos de mi /var/log/auth.log
, y las direcciones IP ofensivas para mostrar cómo no están en la misma subred (de los registros, ninguno parece haber podido conectarse, ya que tengo SSH deshabilitado para el usuario root
).
/var/log/auth.log
Mar 15 11:33:18 MyBox sshd[19993]: Invalid user curis from 101.254.141.27
Mar 15 11:33:18 MyBox sshd[19993]: input_userauth_request: invalid user curis [preauth]
Mar 15 11:33:18 MyBox sshd[19993]: pam_unix(sshd:auth): check pass; user unknown
Mar 15 11:33:18 MyBox sshd[19993]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.254.141.27
Mar 15 11:33:21 MyBox sshd[19993]: Failed password for invalid user curis from 101.254.141.27 port 9038 ssh2
Mar 15 11:33:21 MyBox sshd[19993]: Received disconnect from 101.254.141.27: 11: Bye Bye [preauth]
Mar 15 11:33:24 MyBox sshd[19995]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=101.254.141.27 user=root
Mar 15 11:33:26 MyBox sshd[19995]: Failed password for root from 101.254.141.27 port 10549 ssh2
Mar 15 11:33:27 MyBox sshd[19995]: Received disconnect from 101.254.141.27: 11: Bye Bye [preauth]
...
Mar 17 19:13:38 MyBox sshd[4369]: reverse mapping checking getaddrinfo for 12.145.195.113.adsl-pool.jx.chinaunicom.com [113.195.145.12] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 17 19:13:38 MyBox sshd[4369]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.195.145.12 user=root
Mar 17 19:13:40 MyBox sshd[4369]: Failed password for root from 113.195.145.12 port 38767 ssh2
Mar 17 19:13:55 MyBox sshd[4369]: message repeated 5 times: [ Failed password for root from 113.195.145.12 port 38767 ssh2]
Mar 17 19:13:55 MyBox sshd[4369]: error: maximum authentication attempts exceeded for root from 113.195.145.12 port 38767 ssh2 [preauth]
Mar 17 19:13:55 MyBox sshd[4369]: Disconnecting: Too many authentication failures for root [preauth]
Mar 17 19:13:55 MyBox sshd[4369]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.195.145.12 user=root
Mar 17 19:13:55 MyBox sshd[4369]: PAM service(sshd) ignoring max retries; 6 > 3
Algunas de las direcciones IP ofensivas
125.64.93.78
125.212.232.112
40.117.40.125
202.83.25.95
185.110.132.54
50.56.29.14
73.240.201.33
78.22.85.130
91.64.44.228