conexión SSH sospechosa

0

esta es la situacion:

  • vps con debian 8x32 virgen (nueva plantilla del repositorio del proveedor);
  • "usuario" exótico y "contraseña" segura;
  • 30 segundos después: comando (apt-get update);
  • 30 segundos después: comando (netstat);

  • netstat show:

    • 1 x tcp estableció conexión sshd (mi cliente ssh remoto);
    • 1 x tcp sshd connection ESTABLISHED (IP china) (ataque cardíaco pequeño);
  • 30 segundos después: comando (cat /var/log.auth/);

  • el registro contiene:
  • solo mi conexión remota "Aceptada";
  • varios intentos de conexión no válidos (ssh brute force);

  • 30 segundos después:

  • instaló fail2ban para ssh y 4 servicios más;
  • prohibición permanente configurada (valor -1);
  • hosts.deny poblados con algunas direcciones IP que están atacando;

  • 2 días después: * revisión de registro var / log / auth * | grep [Aceptado, inválido, rechazado, etc.];

Todo indica que ningún ataque ha tenido éxito; Los ips hosts.deny son expulsados perfectamente; Fail2ban funciona perfectamente; Los ataques por solo ip han disminuido; Ahora los registros solo muestran los ataques por ip y no 200 ataques por ip; Todas las conexiones "Aceptadas" de los registros son correctas (solo yo con mi cliente remoto he tenido éxito en la conexión, al parecer);

Sé que lo primero es desactivar la raíz, las contraseñas, etc. y usar la clave pública y otras cosas, pero mi pregunta se refiere al estado "ESTABLECIDO" de una conexión SSH mostrada por netstat, es decir:

  • ¿Es posible que se haya asumido un resultado de netstat ESTABLISHED pero no se haya producido?

  • ¿El resultado de ESTABLISHED nestat definitivamente y definitivamente indica que la máquina ha sido comprometida?

  • ¿Es posible que el atacante esté jugando con SYN o SYN-ACK modificado para simular una conexión STABLISHED falsa?

Extra: He visto conexiones ESTABLECIDAS 4 veces, justo después de que ban2 me haya prohibido de forma permanente y, después de 2 segundos, volver a encender netstat y ver cómo desapareció el nonxion como un ninja;

Gracias de antemano.

    
pregunta vancloud 19.11.2017 - 12:20
fuente

1 respuesta

1

Una conexión "ESTABLECIDA" vista en la salida de un comando netstat se refiere solo a la conexión TCP. Si el puerto aceptaba conexiones desde cualquier IP remota, cualquiera podría establecer una sesión TCP, donde el demonio SSH solicitaría un nombre de usuario y contraseña, pero eso no significa que se establezca una sesión SSH.

Puede probarlo fácilmente usted mismo: inicie sesión en su máquina a través de SSH y luego, desde su PC local use telnet, netcat, socat o cualquier otra herramienta similar para abrir una sesión de TCP en su máquina remota en el puerto 22. Luego ingrese su sesión. en sesión, obtenga el resultado de netstat: verá 2 conexiones desde su PC local como se establece, la que tiene una sesión SSH y la conexión TCP pura desde telnet.

Busque en /var/log/auth.log las sesiones de SSH. Intente buscar "sesión abierta", que solo debe corresponder a sus conexiones.

Además, recomendaría realizar algunos pasos de configuración adicionales en su VPS: primero, si su PC local tiene una dirección IP fija y solo planea conectarse al VPS desde esa PC, restrinja a través de iptables para permitir conexiones solo desde esa IP (NOTA: hacerlo mal podría bloquearte tu VPS, se requiere precaución). Si no está arreglado o si necesita conectarse desde otras fuentes, esa opción está fuera de la lista. Segundo: para reducir la fuerza bruta (fail2ban es bueno, pero depende de los eventos registrados para que funcionen, por lo que siempre tendrás algunos intentos de nuevas fuentes), cambiaría el puerto SSH de 22 a otra cosa.

    
respondido por el NuTTyX 19.11.2017 - 16:32
fuente

Lea otras preguntas en las etiquetas