Fail2Ban sigue enviándome registros de usuarios prohibidos, ¿alguien está intentando hackearme?

Navega tus respuestas
0

Instalé y configuré fail2ban en mi VPS hace un par de días, desde que lo instalé, me sigue enviando correos electrónicos que dicen que se prohibió una IP después de intentos fallidos de inicio de sesión. El firewall está activado y fail2ban se está ejecutando, el tiempo de prohibición es de 1 hora, pero aparentemente la ip lo está intentando muchas veces y en diferentes puertos que SSH.

Aquí es parte del registro: 

Sep 27 08:33:55 hero2 sshd[18529]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:33:57 hero2 sshd[18529]: Failed password for root from 43.229.53.67 port 22961 ssh2
Sep 27 08:34:01 hero2 sshd[18529]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 22961 ssh2]
Sep 27 08:34:02 hero2 sshd[18529]: Received disconnect from 43.229.53.67: 11:  [preauth]
Sep 27 08:34:02 hero2 sshd[18529]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:02 hero2 sshd[18531]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:04 hero2 sshd[18531]: Failed password for root from 43.229.53.67 port 43817 ssh2
Sep 27 08:34:08 hero2 sshd[18531]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 43817 ssh2]
Sep 27 08:34:08 hero2 sshd[18531]: Received disconnect from 43.229.53.67: 11:  [preauth]
Sep 27 08:34:08 hero2 sshd[18531]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:09 hero2 sshd[18533]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:11 hero2 sshd[18533]: Failed password for root from 43.229.53.67 port 62808 ssh2
Sep 27 08:34:15 hero2 sshd[18533]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 62808 ssh2]
Sep 27 08:34:15 hero2 sshd[18533]: Received disconnect from 43.229.53.67: 11:  [preauth]
Sep 27 08:34:15 hero2 sshd[18533]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:16 hero2 sshd[18535]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:18 hero2 sshd[18535]: Failed password for root from 43.229.53.67 port 26821 ssh2
Sep 27 08:34:22 hero2 sshd[18535]: message repeated 2 times: [ Failed password for root from 43.229.53.67 port 26821 ssh2]
Sep 27 08:34:22 hero2 sshd[18535]: Received disconnect from 43.229.53.67: 11:  [preauth]
Sep 27 08:34:22 hero2 sshd[18535]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:23 hero2 sshd[18537]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=43.229.53.67  user=root
Sep 27 08:34:25 hero2 sshd[18537]: Failed password for root from 43.229.53.67 port 46038 ssh2
Sep 27 08:34:29 hero2 sshd[18537]: message repeated 2 times: [ Failed password for root from 43

Por lo que veo, todo proviene de la misma IP, está intentando muchas veces y en diferentes puertos (¿no debería mi firewall bloquear todos los puertos excepto ssh?). Además, la raíz está deshabilitada.

¿Alguien está tratando de aplicar fuerza bruta a mi VPS? ¿Qué puedo hacer para detenerlo?

    
pregunta raphadko 03.10.2015 - 21:24
fuente

3 respuestas

1
  

¿Alguien está tratando de aplicar fuerza bruta a mi VPS? ¿Qué puedo hacer para detenerlo?

Muy probable. Si están usando una dirección estática, puedes bloquearla usando iptables : 

# iptables -A INPUT -s IP_ADDRESS -j DROP

Tenga en cuenta que el atacante puede cambiar su máquina (VPS) y luego intentar lanzar los ataques nuevamente. Luego, también tendría que agregar la nueva dirección a la lista de direcciones bloqueadas. En general, es más seguro utilizar una contraseña buena .

Editar # 1:

Para bloquear un host con ufw use: 

# ufw deny from 207.46.232.182

Para un rango de hosts, use una máscara de subred: 

# ufw deny from 207.46.232.182/24
    
respondido por el Sebi 03.10.2015 - 21:41
fuente
3

Acostúmbrate a ello.

Si ha deshabilitado los inicios de sesión de root y está ejecutando fail2ban, ya ha tomado algunas precauciones razonables. Personalmente, siempre restringo el acceso a un grupo específico de usuarios y deshabilito la autenticación de contraseña.

Agregar bloques al firewall de forma manual para cada host que intenta forzar la fuerza bruta de su sshd no es una estrategia viable.

    
respondido por el symcbean 03.10.2015 - 21:50
fuente
0

Sí, alguien lo hace, pero no lo tomes como algo personal. En el momento en que conecte un servidor a Internet, será atacado por tales ataques.

Hay muchos delincuentes que ejecutan bots que se conectan a direcciones IP arbitrarias, buscan un demonio SSH y tratan de forzarlo. El objetivo es encontrar un sistema configurado por un administrador sin experiencia que configuró su servidor para permitir el inicio de sesión remoto con una contraseña débil y sin certificado del lado del cliente. Cuando encuentran un servidor así, quieren usarlo para actividades delictivas (alojar sitios maliciosos y de phishing, enviar spam, realizar ataques DDOS, etc., etc.).

Cuando configuraste una contraseña suficientemente compleja y un fail2ban configurado para bloquear estos intentos, ya hiciste lo suficiente para frustrar estos ataques totalmente automatizados.

    
respondido por el Philipp 04.10.2015 - 14:08
fuente

Lea otras preguntas en las etiquetas

El cliente envió el certificado con cero bytes pero ssl está funcionando bien ¿Solución alternativa de la lista negra de Google? [cerrado]