Los intentos de registro no válidos del servidor Debian y el uso de gran ancho de banda

Navega tus respuestas
0

Desde hace un par de días, mi servidor Debian comenzó a obtener intentos de inicio de sesión (consulte el archivo de registro a continuación). /var/log/auth.log hace solo tres días, aunque el servidor se ha estado ejecutando durante mucho más tiempo.

Me di cuenta de que el tráfico de la red aumentó 10 veces y el servidor se detuvo para realizar su trabajo (eliminando y analizando los datos meteorológicos cada x minutos).

¿Son estos intentos de piratería o simplemente alguien que ha cometido un error honesto y está intentando iniciar sesión en el servidor incorrecto?

Reinicié el servidor y obtuve una nueva IP. Los intentos de inicio de sesión se detuvieron y el servidor podría reiniciarse para funcionar como se esperaba. ¿Es eso suficiente?

Usuarios inválidos: 

Feb 25 07:05:47 <my_server_name> sshd[20223]: Invalid user pi from 84.1.34.55 port 42168
Feb 25 07:05:47 <my_server_name> sshd[20225]: Invalid user pi from 84.1.34.55 port 42170
Feb 25 07:11:16 <my_server_name> sshd[20249]: Invalid user admin from 110.77.173.11 port 59058
Feb 25 09:26:11 <my_server_name> sshd[20693]: Invalid user cacti from 91.206.4.250 port 51831
Feb 25 09:29:56 <my_server_name> sshd[20699]: Invalid user system from 91.206.4.250 port 46048
Feb 25 09:34:07 <my_server_name> sshd[20720]: Invalid user oracle4 from 91.206.4.250 port 40576
Feb 25 09:38:17 <my_server_name> sshd[20738]: Invalid user kang from 91.206.4.250 port 35145
Feb 25 09:43:07 <my_server_name> sshd[20757]: Invalid user scaner from 91.206.4.250 port 58343
Feb 25 10:45:32 <my_server_name> sshd[20972]: Invalid user  0101 from 5.101.40.10 port 60675
Feb 25 13:01:14 <my_server_name> sshd[21480]: Invalid user packer from 178.238.227.236 port 48256
Feb 25 13:57:14 <my_server_name> sshd[21708]: Invalid user customer from 45.77.20.111 port 61447
Feb 25 19:26:16 <my_server_name> sshd[23390]: Invalid user admin from 41.238.155.19 port 54046
Feb 25 19:26:21 <my_server_name> sshd[23394]: Invalid user admin from 123.17.142.134 port 8115
Feb 25 19:26:25 <my_server_name> sshd[23396]: Invalid user admin from 123.21.121.162 port 47277
Feb 26 01:07:26 <my_server_name> sshd[24576]: Invalid user setup from 125.212.248.37 port 51559
Feb 26 01:11:29 <my_server_name> sshd[24595]: Invalid user test7 from 125.212.248.37 port 43459
Feb 26 01:15:54 <my_server_name> sshd[24613]: Invalid user squid from 125.212.248.37 port 35362
Feb 26 01:20:36 <my_server_name> sshd[24635]: Invalid user ubnt from 125.212.248.37 port 55512
Feb 26 01:25:30 <my_server_name> sshd[24655]: Invalid user cron from 125.212.248.37 port 47436
Feb 26 03:27:08 <my_server_name> sshd[25046]: Invalid user  0101 from 5.101.40.10 port 40939
Feb 26 03:27:19 <my_server_name> sshd[25050]: Invalid user 0 from 5.101.40.10 port 46872
Feb 26 03:27:32 <my_server_name> sshd[25053]: Invalid user 1234 from 5.101.40.10 port 56612
Feb 26 03:27:40 <my_server_name> sshd[25056]: Invalid user admin from 5.101.40.10 port 42483
Feb 26 03:27:42 <my_server_name> sshd[25059]: Invalid user admin from 5.101.40.10 port 38818
Feb 26 07:42:23 <my_server_name> sshd[26082]: Invalid user admin from 82.209.209.32 port 56889
Feb 26 07:42:27 <my_server_name> sshd[26086]: Invalid user admin from 186.101.223.181 port 58521
Feb 26 07:42:35 <my_server_name> sshd[26088]: Invalid user admin from 109.86.89.70 port 48484
Feb 26 09:20:40 <my_server_name> sshd[26459]: Invalid user ubuntu from 62.210.103.20 port 17592
Feb 26 09:53:32 <my_server_name> sshd[26570]: Invalid user ubuntu from 62.210.103.20 port 33833
Feb 26 10:27:02 <my_server_name> sshd[26696]: Invalid user ubuntu from 62.210.103.20 port 50168
Feb 26 12:22:59 <my_server_name> sshd[27097]: Invalid user alice from 54.197.138.157 port 44960
Feb 26 12:23:05 <my_server_name> sshd[27100]: Invalid user packer from 54.197.138.157 port 46468
Feb 26 12:23:12 <my_server_name> sshd[27103]: Invalid user ec2-user from 54.197.138.157 port 48060
Feb 26 12:23:32 <my_server_name> sshd[27111]: Invalid user deploy from 54.197.138.157 port 52844
Feb 26 12:23:38 <my_server_name> sshd[27114]: Invalid user vagrant from 54.197.138.157 port 54437
Feb 26 12:23:45 <my_server_name> sshd[27117]: Invalid user postgres from 54.197.138.157 port 56043
Feb 26 12:23:58 <my_server_name> sshd[27122]: Invalid user tigertooth from 54.197.138.157 port 59214
Feb 26 12:24:05 <my_server_name> sshd[27125]: Invalid user ubuntu from 54.197.138.157 port 60813
Feb 26 12:24:12 <my_server_name> sshd[27128]: Invalid user centos from 54.197.138.157 port 34175
Feb 26 14:06:56 <my_server_name> sshd[27484]: Invalid user  0101 from 5.101.40.10 port 35918
Feb 26 14:07:04 <my_server_name> sshd[27488]: Invalid user 0 from 5.101.40.10 port 42591
Feb 26 14:07:09 <my_server_name> sshd[27491]: Invalid user 1234 from 5.101.40.10 port 53641
Feb 26 14:07:10 <my_server_name> sshd[27494]: Invalid user admin from 5.101.40.10 port 51921
Feb 26 14:07:19 <my_server_name> sshd[27497]: Invalid user admin from 5.101.40.10 port 41209
Feb 26 14:07:28 <my_server_name> sshd[27499]: Invalid user admin from 5.101.40.10 port 45466
Feb 26 14:07:34 <my_server_name> sshd[27501]: Invalid user admin from 5.101.40.10 port 56275
Feb 26 14:07:39 <my_server_name> sshd[27504]: Invalid user default from 5.101.40.10 port 40792
Feb 26 14:07:47 <my_server_name> sshd[27507]: Invalid user ftp from 5.101.40.10 port 55119
Feb 26 17:40:53 <my_server_name> sshd[28259]: Invalid user pi from 113.232.204.10 port 42721
Feb 26 17:40:53 <my_server_name> sshd[28258]: Invalid user pi from 113.232.204.10 port 42720
Feb 26 19:21:41 <my_server_name> sshd[28896]: Invalid user pi from 115.231.212.82 port 2022
Feb 26 19:21:43 <my_server_name> sshd[28899]: Invalid user PlcmSpIp from 115.231.212.82 port 2408
Feb 26 19:21:44 <my_server_name> sshd[28903]: Invalid user admin from 115.231.212.82 port 2774
Feb 26 19:21:46 <my_server_name> sshd[28907]: Invalid user ftpuser from 115.231.212.82 port 3079
Feb 26 19:21:48 <my_server_name> sshd[28910]: Invalid user ftpuser from 115.231.212.82 port 3456
Feb 26 19:21:50 <my_server_name> sshd[28912]: Invalid user guest from 115.231.212.82 port 3889
Feb 26 19:21:52 <my_server_name> sshd[28915]: Invalid user guest from 115.231.212.82 port 4197
Feb 26 19:21:53 <my_server_name> sshd[28917]: Invalid user guest from 115.231.212.82 port 4645
Feb 26 19:21:55 <my_server_name> sshd[28919]: Invalid user ubnt from 115.231.212.82 port 4966
Feb 26 19:21:57 <my_server_name> sshd[28924]: Invalid user test from 115.231.212.82 port 1611
Feb 26 19:21:59 <my_server_name> sshd[28927]: Invalid user test1 from 115.231.212.82 port 1866
Feb 26 19:22:00 <my_server_name> sshd[28930]: Invalid user test from 115.231.212.82 port 2191
Feb 26 19:22:02 <my_server_name> sshd[28932]: Invalid user test from 115.231.212.82 port 2475
Feb 26 19:22:04 <my_server_name> sshd[28934]: Invalid user test from 115.231.212.82 port 2758
Feb 26 19:22:06 <my_server_name> sshd[28936]: Invalid user admin from 115.231.212.82 port 2999
Feb 26 19:22:18 <my_server_name> sshd[28956]: Invalid user ftp from 115.231.212.82 port 1157
Feb 26 19:22:20 <my_server_name> sshd[28959]: Invalid user ftp from 115.231.212.82 port 1375
Feb 26 19:22:22 <my_server_name> sshd[28961]: Invalid user ftp from 115.231.212.82 port 1569
Feb 26 19:22:24 <my_server_name> sshd[28963]: Invalid user vyatta from 115.231.212.82 port 1933
Feb 26 19:22:25 <my_server_name> sshd[28966]: Invalid user user from 115.231.212.82 port 2156
Feb 26 19:22:27 <my_server_name> sshd[28970]: Invalid user user from 115.231.212.82 port 2446
Feb 26 19:22:29 <my_server_name> sshd[28973]: Invalid user www from 115.231.212.82 port 2952
Feb 26 19:22:31 <my_server_name> sshd[28976]: Invalid user info from 115.231.212.82 port 3242
Feb 26 19:22:32 <my_server_name> sshd[28979]: Invalid user admin from 115.231.212.82 port 3658
Feb 26 19:22:34 <my_server_name> sshd[28982]: Invalid user admin from 115.231.212.82 port 3933
Feb 26 19:22:36 <my_server_name> sshd[28984]: Invalid user git from 115.231.212.82 port 4227
Feb 26 19:22:38 <my_server_name> sshd[28989]: Invalid user vyatta from 115.231.212.82 port 4592
Feb 26 19:22:39 <my_server_name> sshd[28991]: Invalid user operator from 115.231.212.82 port 4880
Feb 26 19:22:41 <my_server_name> sshd[28994]: Invalid user webmaster from 115.231.212.82 port 1144
Feb 26 19:22:43 <my_server_name> sshd[28997]: Invalid user nagios from 115.231.212.82 port 1472
Feb 26 19:22:45 <my_server_name> sshd[29000]: Invalid user oracle from 115.231.212.82 port 1937
Feb 26 19:22:46 <my_server_name> sshd[29003]: Invalid user fax from 115.231.212.82 port 2250
Feb 26 19:22:48 <my_server_name> sshd[29008]: Invalid user fax from 115.231.212.82 port 2530
Feb 26 19:22:50 <my_server_name> sshd[29010]: Invalid user sales from 115.231.212.82 port 2753
Feb 26 19:22:52 <my_server_name> sshd[29013]: Invalid user server from 115.231.212.82 port 3009
Feb 26 19:22:54 <my_server_name> sshd[29016]: Invalid user mysql from 115.231.212.82 port 3348
Feb 26 19:22:55 <my_server_name> sshd[29019]: Invalid user public from 115.231.212.82 port 3621
Feb 26 19:22:57 <my_server_name> sshd[29022]: Invalid user demo from 115.231.212.82 port 3875

Esta es la salida de netstat -l 

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:ssh             0.0.0.0:*               LISTEN     
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN     
udp        0      0 0.0.0.0:bootpc          0.0.0.0:*                          
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   Path
unix  2      [ ACC ]     STREAM     LISTENING     10332    /run/systemd/private
unix  2      [ ACC ]     SEQPACKET  LISTENING     10343    /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     10345    /run/systemd/fsck.progress
unix  2      [ ACC ]     STREAM     LISTENING     12394    /var/run/nscd/socket
unix  2      [ ACC ]     STREAM     LISTENING     12396    /var/run/.nscd_socket
unix  2      [ ACC ]     STREAM     LISTENING     10351    /run/systemd/journal/stdout
unix  2      [ ACC ]     STREAM     LISTENING     12176    /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     28848    /run/user/1000/systemd/private
unix  2      [ ACC ]     STREAM     LISTENING     28853    /run/user/1000/gnupg/S.gpg-agent
unix  2      [ ACC ]     STREAM     LISTENING     28856    /run/user/1000/gnupg/S.gpg-agent.browser
unix  2      [ ACC ]     STREAM     LISTENING     28858    /run/user/1000/gnupg/S.gpg-agent.ssh
unix  2      [ ACC ]     STREAM     LISTENING     28860    /run/user/1000/gnupg/S.gpg-agent.extra
    
pregunta Julpi 27.02.2018 - 19:14
fuente

4 respuestas

1

Como se señaló, si expones SSH, obtendrás esto. Además de los conceptos básicos (deshabilitar el inicio de sesión de SSH, permitir solo la autenticación de clave pública / deshabilitar la autenticación de contraseña), deshabilitar el inicio de sesión de raíz, solo permitir SSH v2, recortar los cifrados permitidos a buenos conocidos [0]), puede:

  1. Coloque SSH en un puerto no estándar (2201 o algo así) para que los escáneres automáticos simples se lo pierdan. Esto al menos reducirá el volumen.
  2. Ejecuta algo como fail2ban para bloquear los intentos persistentes. No es tan útil como lo era antes, ya que cada vez más escáneres están aleatorizando las IP de src.
  3. Use IPTables o ufw para bloquear intentos de SSH de cualquier otra cosa que no sean redes autorizadas. Funciona muy bien si sabe de antemano de qué redes vendrá, incluso si tiene que permitir que un entero / 12 o algo cubra todo su módem de cable / bloque DSL.
  4. Use la geolocalización con GeoIP e IPtables o fail2ban para bloquear intentos de países que no tienen ningún negocio intentando iniciar sesión a través de ssh. En mi experiencia, esto generalmente reduce significativamente pero no elimina el volumen. YMMV.
  5. Use IPTables para calificar el límite de intentos SSH desde cualquier IP dada. No es tan útil como lo era antes, ya que cada vez más escáneres están aleatorizando las IP de src.

N.B. - sshd_config tiene una configuración llamada MaxStartups que parece ser un mecanismo limitador de velocidad. Es un poco así, pero tiene un alcance global, por lo que si el script kiddie te está golpeando, obtendrás una denegación.

[0] Hay muchas listas de verificación de mejores prácticas sshd, pero he visto muy pocas que tratan el tema de las suites de cifrado como enlace

[1] Consulte: enlace

[2] Consulte: enlace

[3] Algo como iptables -I INPUT -p tcp ! -s yourIPaddress --dport 22 -j DROP

[4] enlace

[5] Algo como:

  

iptables -A INPUT -p tcp --dport 22 -m estado --estado NUEVO -m reciente --set --nombre SSH --rsource

     

iptables -A INPUT -m reciente --update --seconds 600 --hitcount 3 --rttl --name SSH --rsource -j DROP

para soltar más de 3 intentos en 10 minutos. También puede usar algo como hashlimit para limitar la tasa de paquetes de una fuente particular en lugar de conexiones.

    
respondido por el KJ Seefried 29.03.2018 - 23:22
fuente
0

Muchos atacantes escanean direcciones ip e intentan iniciar sesión si encuentran algo. En virtud de tener una dirección IP accesible externamente, su servidor está siendo sometido a ataques bruscos (probablemente) automatizados. Recomiendo asegurarse de tener una contraseña de inicio de sesión segura o (incluso mejor) hacer que ssh ligin solo sea posible a través de un sp keypair

    
respondido por el user196499 27.02.2018 - 19:23
fuente
0

Al atacar a un servidor, el primer paso es reconfigurar, y eso implica escanear puertos. La mayoría de los niños de secuencias de comandos ejecutarán un escaneo de puertos que simplemente destruye la red con solicitudes que intentan ver qué puertos están abiertos. Están escaneando puertos bastante altos, así que parece que están buscando algunas aplicaciones o puertos específicos para servidores web abiertos. Asegúrese de que SSH, RDP y Telnet no estén abiertos, si es SSH, asegúrese de que no sea una credencial predeterminada. Siempre puedes bloquear sus direcciones IP para que no hagan solicitudes.

    
respondido por el Heigou 29.03.2018 - 22:13
fuente
0

Esto no es un error honesto. De ser así, quienquiera que esté en el otro extremo reconocerá su error muy pronto cuando no pueda iniciar sesión, o cuando los servicios que necesiten algo como un túnel SSH dejen de funcionar. Tampoco verías un millón de nombres de usuarios diferentes.

Tampoco es probable que esté orientado.

Más bien, por más desafortunado que sea, es un hecho de la vida en Internet en estos días que al permitir el tráfico, se obtendrá un tráfico no deseado. Lo sentimos, pero lo mejor que podemos hacer es tratar de lidiar con él de manera que minimice los inconvenientes para los usuarios legítimos, al tiempo que evitamos la mayor cantidad posible de tráfico no deseado lo más cerca posible de la red (para reducir tanto el desorden de registros como superficie de ataque).

La configuración de su servidor SSH para imponer la autenticación de clave pública puede ser un buen consejo en general, pero no ayudará mucho en este caso, porque el atacante ni siquiera está identificando nombres de usuario válidos, y mucho menos contraseñas. Por lo tanto, si bien la aplicación de la autenticación de clave pública puede ser una buena opción por otros , no le ayudará con el problema de este .

En cambio, sugeriría tres cosas.

  • Instala fail2ban . Está en los repositorios de Debian, es bastante sencillo de instalar y olvidar, y bloqueará automáticamente el tráfico proveniente de direcciones IP específicas durante un período de tiempo si le golpean con, en este caso, demasiados inicios de sesión fallidos. También es fácil adaptarse a su situación particular si las reglas de stock no son lo suficientemente buenas.
  • Restrinja el conjunto de usuarios que pueden iniciar sesión a través de SSH. Para OpenSSH, puede usar AllowGroups y AllowUsers en / etc / ssh / sshd_config para esto, posiblemente en combinación con un bloque Match . De esta manera, incluso si un atacante golpea un nombre de usuario que es válido en su sistema, debe golpear uno que tenga permiso para iniciar sesión a través de SSH. Considere configurar un grupo separado para aquellos usuarios autorizados para iniciar sesión a través de SSH, luego agregue los usuarios requeridos a ese grupo y agregue AllowGroups groupname a sshd_config. Como mínimo , debe configurar su servidor SSH para que rechace el inicio de sesión directamente como root .
  • Ejecute SSH en un puerto no estándar. Esto no es una panacea y no es una medida de seguridad en sí misma, pero le dará un respiro frente a muchos análisis automatizados. ¡Asegúrate de ajustar las reglas del cortafuegos, incluida la configuración de fail2ban, en consecuencia!
respondido por el a CVn 29.05.2018 - 17:24
fuente

Lea otras preguntas en las etiquetas

¿Se podría considerar un ID de sesión como un factor válido en 2FA? Cómo recuperar de forma remota el hash de contraseña de la computadora