¿Qué está pasando con mi servidor vacío? [duplicar]

0

Hace un par de días inicié sesión en una VM de Linux y la VM dijo que hubo 12000 intentos de inicio de sesión fallidos. Después de cada inicio de sesión, seguía informándome de intentos fallidos de inicio de sesión, así que comencé a monitorear mis registros de firewall en la máquina host (que ahora también cubre las máquinas virtuales) y sigo encontrando solicitudes de DNS, telnet, http y ssh.

Un ejemplo de algunas solicitudes ahora:

Como puede ver, los hosts aparentemente aleatorios siguen conectándose a mi host y / o máquinas virtuales usando varios puertos.

Comencé a usar el servidor hace una semana y todo lo que hice fue vincular mi dominio a él y algunas máquinas virtuales en él. Sin embargo, no hay servicios reales que se ejecuten en él (excepto algunos entornos de prueba como HTTPD).

Me gustaría observar que la máquina host ha tenido ransomware (Dharma) por un breve momento (lo reinstalé completamente después de un día).

Esto ha estado ocurriendo durante un par de días y, tan pronto como el servidor se conecta, continúa. Supongo que esto es un ataque? Si es así, ¿hay algo que pueda hacer al respecto o simplemente lo espero?

    
pregunta Limnic 10.12.2016 - 16:52
fuente

1 respuesta

2

Ahora hay millones de máquinas conectadas a Internet que están infectadas y forman parte de una o, a veces, de varias redes de bots. Una de las cosas que hacen algunas botnets es rastrear automática y continuamente las direcciones IP descubiertas en busca de puertos para intentar conectarse. Cuando encuentren uno, intentarán usar identificadores y contraseñas comunes para ingresar e infectar la máquina encontrada.

Encontrará que cualquier nuevo servidor o enrutador conectado a Internet se descubre en unos 30 segundos.

NUNCA debe dejar los puertos comunes abiertos directamente a Internet a menos que realmente los necesite.

Algunos puertos NUNCA deben dejarse abiertos completamente. Esos incluyen TELNET y FTP. Estos son servicios sin cifrar y, si los usa, está abierto a que le roben sus inicios de sesión y registre cualquier información que transfiera.

En general, los únicos puertos que debe dejar abiertos en sus valores predeterminados son 80 y 443 para HTTP y HTTPS respectivamente. Por supuesto, es posible que también necesite otros, pero siempre debe tener en cuenta que cualquier puerto es un objetivo.

Además de los servicios no seguros, recomiendo encarecidamente mover los puertos predeterminados para SSH y RDP, ya que estos atraen mucha atención y realmente no desea que sus registros estén llenos de intentos de conexión ya que esto Puede enmascarar otros temas. RDP en particular puede ser susceptible de ataque y ha habido algunos ataques de alto perfil que lo han usado recientemente. RDP es el servicio de escritorio remoto de Microsoft.

ACTUALIZACIÓN: acceder a SSH a través de Teamviewer es un poco excesivo en realidad. Úselo, pero simplemente muévalo a un puerto diferente. También puede ver algo como fail2ban , que puede agregar algo de inteligencia al firewall al prohibir automáticamente las direcciones IP que intentan ingresar de forma persistente.

Teamviewer ha tenido algunos fallos de seguridad graves en el pasado, recomendaría hacer una búsqueda para asegurarse de que está bien en este momento. En general, solo usaría RDP en un servidor Windows & necesitas una licencia apropiada para eso.

    
respondido por el Julian Knight 10.12.2016 - 17:02
fuente

Lea otras preguntas en las etiquetas