Usuarios no válidos que intentan iniciar sesión en mi servidor

43

Estoy viendo muchas entradas de registro que parecen ser intentos de inicio de sesión fallidos de direcciones IP desconocidas.

Estoy usando claves privadas y públicas para iniciar sesión con SSH, pero he notado que incluso con las claves públicas y privadas configuradas puedo iniciar sesión en mi servidor con filezilla sin ejecutar pageant . ¿Esto es normal? ¿Qué debo hacer para protegerme más de lo que parece ser un ataque de fuerza bruta?

Aquí está el registro:

Oct  3 14:11:52 xxxxxx sshd[29938]: Invalid user postgres from 212.64.151.233
Oct  3 14:11:52 xxxxxx sshd[29938]: input_userauth_request: invalid user postgres [preauth]
Oct  3 14:11:52 xxxxxx sshd[29938]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29940]: Invalid user postgres from 212.64.151.233
Oct  3 14:11:52 xxxxxx sshd[29940]: input_userauth_request: invalid user postgres [preauth]
Oct  3 14:11:52 xxxxxx sshd[29940]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29942]: Invalid user postgres from 212.64.151.233
Oct  3 14:11:52 xxxxxx sshd[29942]: input_userauth_request: invalid user postgres [preauth]
Oct  3 14:11:52 xxxxxx sshd[29942]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29944]: Invalid user postgres from 212.64.151.233
Oct  3 14:11:52 xxxxxx sshd[29944]: input_userauth_request: invalid user postgres [preauth]
Oct  3 14:11:52 xxxxxx sshd[29944]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29946]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29948]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29950]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:52 xxxxxx sshd[29952]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29954]: Invalid user admin from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29954]: input_userauth_request: invalid user admin [preauth]
Oct  3 14:11:53 xxxxxx sshd[29954]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29956]: Invalid user admin from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29956]: input_userauth_request: invalid user admin [preauth]
Oct  3 14:11:53 xxxxxx sshd[29956]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29958]: Invalid user admin from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29958]: input_userauth_request: invalid user admin [preauth]
Oct  3 14:11:53 xxxxxx sshd[29958]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29960]: User mysql not allowed because account is locked
Oct  3 14:11:53 xxxxxx sshd[29960]: input_userauth_request: invalid user mysql [preauth]
Oct  3 14:11:53 xxxxxx sshd[29960]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29962]: User mysql not allowed because account is locked
Oct  3 14:11:53 xxxxxx sshd[29962]: input_userauth_request: invalid user mysql [preauth]
Oct  3 14:11:53 xxxxxx sshd[29962]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29964]: Invalid user prueba from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29964]: input_userauth_request: invalid user prueba [preauth]
Oct  3 14:11:53 xxxxxx sshd[29964]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29966]: Invalid user prueba from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29966]: input_userauth_request: invalid user prueba [preauth]
Oct  3 14:11:53 xxxxxx sshd[29966]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:53 xxxxxx sshd[29968]: Invalid user usuario from 212.64.151.233
Oct  3 14:11:53 xxxxxx sshd[29968]: input_userauth_request: invalid user usuario [preauth]
Oct  3 14:11:53 xxxxxx sshd[29968]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29970]: Invalid user usuario from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29970]: input_userauth_request: invalid user usuario [preauth]
Oct  3 14:11:54 xxxxxx sshd[29970]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29972]: Invalid user admin from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29972]: input_userauth_request: invalid user admin [preauth]
Oct  3 14:11:54 xxxxxx sshd[29972]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29974]: Invalid user nagios from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29974]: input_userauth_request: invalid user nagios [preauth]
Oct  3 14:11:54 xxxxxx sshd[29974]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29976]: Invalid user nagios from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29976]: input_userauth_request: invalid user nagios [preauth]
Oct  3 14:11:54 xxxxxx sshd[29976]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29978]: Invalid user nagios from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29978]: input_userauth_request: invalid user nagios [preauth]
Oct  3 14:11:54 xxxxxx sshd[29978]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29980]: Invalid user nagios from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29980]: input_userauth_request: invalid user nagios [preauth]
Oct  3 14:11:54 xxxxxx sshd[29980]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29982]: Invalid user oracle from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29982]: input_userauth_request: invalid user oracle [preauth]
Oct  3 14:11:54 xxxxxx sshd[29982]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29984]: Invalid user oracle from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29984]: input_userauth_request: invalid user oracle [preauth]
Oct  3 14:11:54 xxxxxx sshd[29984]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:54 xxxxxx sshd[29986]: Invalid user oracle from 212.64.151.233
Oct  3 14:11:54 xxxxxx sshd[29986]: input_userauth_request: invalid user oracle [preauth]
Oct  3 14:11:54 xxxxxx sshd[29986]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29988]: Invalid user oracle from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29988]: input_userauth_request: invalid user oracle [preauth]
Oct  3 14:11:55 xxxxxx sshd[29988]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29990]: Invalid user ftpuser from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29990]: input_userauth_request: invalid user ftpuser [preauth]
Oct  3 14:11:55 xxxxxx sshd[29990]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29992]: Invalid user ftpuser from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29992]: input_userauth_request: invalid user ftpuser [preauth]
Oct  3 14:11:55 xxxxxx sshd[29992]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29994]: Invalid user ftpuser from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29994]: input_userauth_request: invalid user ftpuser [preauth]
Oct  3 14:11:55 xxxxxx sshd[29994]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29996]: Invalid user guest from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29996]: input_userauth_request: invalid user guest [preauth]
Oct  3 14:11:55 xxxxxx sshd[29996]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[29998]: Invalid user guest from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[29998]: input_userauth_request: invalid user guest [preauth]
Oct  3 14:11:55 xxxxxx sshd[29998]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[30000]: Invalid user guest from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[30000]: input_userauth_request: invalid user guest [preauth]
Oct  3 14:11:55 xxxxxx sshd[30000]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:55 xxxxxx sshd[30002]: Invalid user guest from 212.64.151.233
Oct  3 14:11:55 xxxxxx sshd[30002]: input_userauth_request: invalid user guest [preauth]
Oct  3 14:11:55 xxxxxx sshd[30002]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30004]: Invalid user test from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30004]: input_userauth_request: invalid user test [preauth]
Oct  3 14:11:56 xxxxxx sshd[30004]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30006]: Invalid user test from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30006]: input_userauth_request: invalid user test [preauth]
Oct  3 14:11:56 xxxxxx sshd[30006]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30008]: Invalid user test from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30008]: input_userauth_request: invalid user test [preauth]
Oct  3 14:11:56 xxxxxx sshd[30008]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30010]: Invalid user test from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30010]: input_userauth_request: invalid user test [preauth]
Oct  3 14:11:56 xxxxxx sshd[30010]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30012]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30014]: Invalid user user from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30014]: input_userauth_request: invalid user user [preauth]
Oct  3 14:11:56 xxxxxx sshd[30014]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30016]: Invalid user user from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30016]: input_userauth_request: invalid user user [preauth]
Oct  3 14:11:56 xxxxxx sshd[30016]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:56 xxxxxx sshd[30018]: Invalid user user from 212.64.151.233
Oct  3 14:11:56 xxxxxx sshd[30018]: input_userauth_request: invalid user user [preauth]
Oct  3 14:11:56 xxxxxx sshd[30018]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30020]: Invalid user user from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30020]: input_userauth_request: invalid user user [preauth]
Oct  3 14:11:57 xxxxxx sshd[30020]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30022]: Invalid user jboss from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30022]: input_userauth_request: invalid user jboss [preauth]
Oct  3 14:11:57 xxxxxx sshd[30022]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30024]: Invalid user jboss from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30024]: input_userauth_request: invalid user jboss [preauth]
Oct  3 14:11:57 xxxxxx sshd[30024]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30026]: Invalid user squid from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30026]: input_userauth_request: invalid user squid [preauth]
Oct  3 14:11:57 xxxxxx sshd[30026]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30028]: Invalid user squid from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30028]: input_userauth_request: invalid user squid [preauth]
Oct  3 14:11:57 xxxxxx sshd[30028]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30030]: Invalid user temp from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30030]: input_userauth_request: invalid user temp [preauth]
Oct  3 14:11:57 xxxxxx sshd[30030]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30032]: Invalid user svn from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30032]: input_userauth_request: invalid user svn [preauth]
Oct  3 14:11:57 xxxxxx sshd[30032]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
Oct  3 14:11:57 xxxxxx sshd[30034]: Invalid user ts from 212.64.151.233
Oct  3 14:11:57 xxxxxx sshd[30034]: input_userauth_request: invalid user ts [preauth]
Oct  3 14:11:57 xxxxxx sshd[30034]: Received disconnect from 212.64.151.233: 11: Bye Bye [preauth]
    
pregunta mk_89 03.10.2012 - 15:28
fuente

7 respuestas

53

Es muy común. Muchas botnets intentan propagarse de esa manera, por lo que este es un ataque sin sentido a gran escala. Las medidas de mitigación incluyen:

  • Use las contraseñas con alta entropía que es muy poco probable que sean forzadas por la ley.
  • Deshabilite el inicio de sesión SSH para root .
  • Use un nombre de usuario "improbable" que las botnets no usarán.
  • Deshabilite la autenticación basada en contraseña por completo.
  • Ejecuta el servidor SSH en otro puerto que no sea 22.
  • Use fail2ban para rechazar la IP de los atacantes automáticamente o ralentizarlos.
  • Permita las conexiones SSH solo desde una lista blanca de IP (¡tenga cuidado de no bloquearse si la IP de su hogar es nominalmente dinámica!).

La mayoría de estas medidas son para mantener pequeños los archivos de registro; Incluso cuando la fuerza bruta no tiene éxito, las miles de entradas de registro son un problema, ya que pueden ocultar ataques dirigidos reales. Un poco de seguridad a través de la oscuridad (como el nombre de usuario poco probable y el cambio de puerto) funciona de maravilla contra los atacantes sin sentido: sí, la seguridad a través de la oscuridad es mala e incorrecta y así sucesivamente, pero a veces funciona y no te frustra un vengativo deidad si lo usas sensiblemente .

Sin embargo, una contraseña de alta entropía será efectiva contra atacantes inteligentes, y solo se puede recomendar en todas las situaciones.

    
respondido por el Thomas Pornin 03.10.2012 - 17:12
fuente
10

El método más fácil y seguro para evitar el acceso no deseado a través de SSH a su servidor será permitir solo el acceso de SSH a cierto host.

Esto se puede configurar fácilmente con envolturas TCP si está utilizando un servidor Linux. Los cortafuegos para restringir el acceso también funcionarán.

A diferencia de las otras respuestas, no creo que sea una buena idea cambiar el puerto predeterminado del servicio ssh. La seguridad por oscuridad nunca funciona y no detendrá un ataque dirigido por un atacante determinado. También causa algunos problemas de usabilidad en mi experiencia.

Si limitar el acceso SSH a cierto host no es una opción, la lista negra de direcciones IP de donde proviene el ataque también podría funcionar. Sin embargo, tenga en cuenta que esto no será efectivo contra los atacantes que usan varias direcciones IP de otras máquinas comprometidas para atacarle.

    
respondido por el Ayrx 03.10.2012 - 16:02
fuente
5

Hay un par de cosas que puedes hacer, y un par de ellas parece que ya lo estás haciendo, así que eso es bueno.

  1. Requiere un archivo de claves para iniciar sesión.
  2. No ejecute SSH en el puerto 22. Es el primer (y generalmente solo) lugar donde se verá un bot, y puede evitar el 90% de estos intentos de inicio de sesión con un simple cambio a la configuración de SSHD. [ Editar: Como dice acertadamente Terry Chia, esto es seguridad a través de la oscuridad. Podría mantener sus registros más limpios de entradas de bot, pero no ralentizará a un humano un poco. Si su sistema aún es inseguro, no será de ayuda cambiar la inseguridad a otro puerto.]
  3. Usa algo como Fail2ban. Supervisa sus registros y puede agregar reglas de firewall para eliminar paquetes de cualquier dirección que falla el inicio de sesión demasiadas veces.
  4. Si es posible, solo permita el acceso de las IPs en la lista blanca.

En última instancia, si tiene un servicio como SSH que acepta paquetes de Internet, no hay nada que pueda hacer para evitar que las personas intenten atacarlo. Una vez que esté satisfecho de haber tomado las precauciones adecuadas, debe anotar las entradas de este tipo que, en última instancia, deben considerarse como ruido de fondo.

    
respondido por el OtisBoxcar 03.10.2012 - 15:48
fuente
4

Tener un puerto SSH abierto es definitivamente propenso a este tipo de ataques, ya que hay muchos Bots que intentan buscar puertos SSH abiertos y lanzar tales ataques de fuerza bruta con el objetivo de entrar en uno. Obviamente, habrá un problema si ha utilizado la configuración predeterminada de SSHD y ha permitido conexiones basadas en contraseñas. Afortunadamente no lo has hecho. Creo que cambiar su puerto predeterminado para escuchar en su SSHD definitivamente reducirá la cantidad de intentos ya que la mayoría de los escáneres buscan el puerto abierto 22. Esto es 'seguridad por oscuridad' y definitivamente no es una solución recomendada. Pero solucionará su problema actual, hasta que alguien con más experiencia proporcione una mejor solución.

    
respondido por el sudhacker 03.10.2012 - 15:36
fuente
4

O use la Lista negra de enlace e informe de todos los nuevos atacantes.

Importe ssh.txt y bloquee todas las IP que se hayan informado a la lista negra en las últimas 48 horas en ssh-attack o bloquéelas con fail2ban e informe de ellas automáticamente a su ISP. Iptables-blocklist-script están en el foro disponible para descargar.

    
respondido por el Martin 04.10.2012 - 08:37
fuente
1

Debido a que encuentro que estas solicitudes de SSH y las resmas de registros que generan son una molesta pérdida de recursos del sistema, uso la función de detonación de puertos. El puerto SSH solo es visible para los hosts desde los cuales se recibe la secuencia de los golpes. Para otros hosts, parece que no hay servicio SSH en esa máquina.

La detonación de puertos es un pequeño inconveniente, ya que para usarla de manera confiable en redes de larga distancia con retraso variable, realmente necesita un programa cliente dedicado para enviar la secuencia de detonación. Además, es posible que se encuentre en alguna red que bloquee el tráfico saliente a algunos de los números de puerto que ha elegido en su secuencia de detonación de puertos.

En lugar de la detonación de puertos, puede implementar la detonación web. Si la máquina está ejecutando un servidor web público, puede colocar una pequeña aplicación web (bajo una URL que solo usted conozca), de manera que si navega esa URL y coloca un valor correcto en un formulario y la envía, se abrirá. hasta el puerto.

    
respondido por el Kaz 03.10.2012 - 23:08
fuente
0

Con respecto a tu pregunta de filezilla / pagaent: la respuesta corta es sí, eso es normal. Yo lo llamaría un efecto secundario no deseado. Según mi experiencia, si utiliza masilla, configure la clave privada allí (Conexión, SSH, Autent), & Guarda la sesión que se almacenará en el registro. Si nombra el "Sitio" en filezilla de la misma manera que hizo la sesión en putty, filezilla busca en ese registro putty & lo usa

Hablé en sus foros sobre esto (principalmente en el contexto de usar una contraseña claves protegidas)

    
respondido por el greggmcfg 26.11.2013 - 23:35
fuente

Lea otras preguntas en las etiquetas