Primeros pasos para prevenir ataques de DOS

7

Mi servidor está siendo atacado actualmente desde otro servidor. Este es mi registro:

root@my-server:/var/log# tail -f auth.log
Feb 19 11:53:08 my-server sshd[3745]: Disconnecting: Too many authentication failures for root [preauth]
Feb 19 11:53:08 my-server sshd[3745]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.32.114.181  user=root
Feb 19 11:53:08 my-server sshd[3745]: PAM service(sshd) ignoring max retries; 6 > 3
Feb 19 11:53:39 my-server sshd[3747]: Address 125.32.114.181 maps to 181.114.32.125.adsl-pool.jlccptt.net.cn, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Feb 19 11:53:41 my-server sshd[3747]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.32.114.181  user=root
Feb 19 11:53:44 my-server sshd[3747]: Failed password for root from 125.32.114.181 port 1680 ssh2
Feb 19 11:53:57  sshd[3747]: last message repeated 5 times
Feb 19 11:53:57 my-server sshd[3747]: Disconnecting: Too many authentication failures for root [preauth]
Feb 19 11:53:57 my-server sshd[3747]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=125.32.114.181  user=root
Feb 19 11:53:57 my-server sshd[3747]: PAM service(sshd) ignoring max retries; 6 > 3

¿Cuáles son los primeros pasos para prevenir este tipo de ataques?

    
pregunta torayeff 19.02.2014 - 13:08
fuente

3 respuestas

10

Teniendo en cuenta que el atacante está haciendo un completo apretón de manos tcp-ip, instala un HIDS como OSSEC o fail2ban deberían funcionar bastante bien para eliminar automáticamente este tráfico.

    
respondido por el Lucas Kauffman 19.02.2014 - 13:22
fuente
5

Mover SSH a un puerto alternativo no es una mala idea. Si bien no lo protegerá de un atacante determinado que se toma el tiempo de ejecutar un escaneo de puertos completo, de hecho evitará el 99.9999% de todos los ataques.

La gran mayoría de todos los servidores web públicos nunca verán un solo atacante determinado que se tomaría el tiempo para encontrar su puerto SSH. Sin embargo, todos los servidores en Internet pueden esperar que el puerto 22 sea atacado, generalmente decenas de miles de veces al día, todos los días.

Estas exploraciones SSH son automáticas, impersonales y, por lo general, intentan un número muy limitado de contraseñas, en algún lugar del rango de 10 a 10.000 intentos por atacante. Entonces, mientras todas sus contraseñas SSH sean largas e impredecibles, no debe tener nada de qué preocuparse.

No obstante, las claves SSH son siempre mejores que las contraseñas. Particularmente para root , la autenticación de contraseña debe estar deshabilitada por completo. Deshabilite el inicio de sesión directo como root (preferido) o deshabilite la autenticación de contraseña para root usando PermitRootLogin without-password en su archivo sshd_config .

    
respondido por el tylerl 19.02.2014 - 18:56
fuente
2

La primera solución simple es prohibir la dirección IP de donde viene el ataque. Esto se puede hacer en el enrutador o en el propio servidor. Por lo general, luego la IP cambia y los ataques continúan.

Actualizado: Otra solución simple podría ser el filtrado de IP. Esto se puede hacer en el enrutador y en el servidor de seguridad. Esto es aplicable cuando usa SSH de cierto destino solamente. Por lo general, podría haber alguna otra máquina utilizada solo como puerta de entrada para varios servidores. El servidor sería simplemente inalcanzable en ese puerto para otra IP.

Otra solución muy simple podría ser colocar SSH en un número de puerto diferente (como 9022, etc.) y dejar 22 "vacío". Esto es "seguridad por curiosidad". Actualizado: el servidor sería inalcanzable en el puerto 22, pero usted sigue siendo vulnerable cuando alguien escanea sus puertos.

Para evitar la fuerza bruta en el servidor, puede utilizar SSHGuard que protege varios servicios u otra utilidad similar, como fail2ban mencionado anteriormente. Actualización: estas herramientas editarán las reglas del firewall automáticamente, generalmente de acuerdo con los archivos de registro de análisis ... y pueden hacer mucho más.

    
respondido por el Dee 19.02.2014 - 14:53
fuente

Lea otras preguntas en las etiquetas