Domanda:
Sto subendo un attacco di forza bruta?
syldor
2016-01-15 16:13:51 UTC
view on stackexchange narkive permalink

Quando si controlla il log di autenticazione di un server con il comando: 

  grep sshd. \ * Fallito /var/log/auth.log | less

Vedo migliaia di righe come questa: 

  Jan 12 11:27:10 ubuntu-leno1 sshd [8423]: password non riuscita per utente non valido amministratori dalla porta 172.25.1.1 44216 ssh2 12 gennaio 11:27:13 ubuntu-leno1 sshd [8425]: password non riuscita per utente phoenix non valido dalla porta 172.25.1.1 20532 ssh2 12 gennaio 11:27:17 ubuntu-leno1 sshd [8428] : Password non riuscita per il maialino utente non valido dalla porta 172.25.1.1 24492 ssh2 12 gennaio 11:27:22 ubuntu-leno1 sshd [8430]: password non riuscita per il rainbow utente non valido dalla porta 172.25.1.1 46591 ssh2 12 gennaio 11:27:25 ubuntu -leno1 sshd [8432]: password non riuscita per utente runner non valido dalla porta 172.25.1.1 57129 ssh2 12 gennaio 11:27:34 ubuntu-leno1 sshd [8434]: password non riuscita per utente non valido sam dalla porta 172.25.1.1 11960 ssh2 12 gennaio 11:27:37 ubuntu-leno1 sshd [8437]: password non riuscita per utente non valido abc123 da 172.25.1.1 porta 5921 ssh2 12 gennaio 11:27:40 ubuntu-leno1 sshd [8439]: password non riuscita per utente non valido passwd da 172.25. 1.1 porta 21208 ssh2 Jan 12 11:27:43 ubuntu-leno1 sshd [8441]: password non riuscita per newpass utente non valido dalla porta 172.25.1.1 65416 ssh2 Jan 12 11:27:46 ubuntu-leno1 sshd [8445]: password non riuscita per newpass utente non valido da 172.25.1.1 porta 26332 ssh2 12 gennaio 11:27:49 ubuntu-leno1 sshd [8447]: password non riuscita per utente non valido non utilizzata dalla porta 172.25.1.1 51126 ssh2 12 gennaio 11:27:52 ubuntu-leno1 sshd [8449]: non riuscita password per utente non valido Hockey dalla porta 172.25.1.1 14949 ssh2 12 gennaio 11:27:56 ubuntu-leno1 sshd [8451]: password non riuscita per utente Internet non valido dalla porta 172.25.1.1 35105 ssh2 12 gennaio 11:27:59 ubuntu-leno1 sshd [8453]: password non riuscita per utente non valido stronzo dalla porta 172.25.1.1 7916 ssh2 12 gennaio 11:28:02 ubuntu-leno1 sshd [8456]: password non riuscita per utente non valido Maddock dalla porta 172.25.1.1 26431 ssh2
12 gennaio 11:28:05 ubuntu-leno1 sshd [8458]: password non riuscita per l'utente non valido Maddock dalla porta 172.25.1.1 53406 ssh2 12 gennaio 11:28:09 ubuntu-leno1 sshd [8460]: password non riuscita per computer utente non valido da 172.25.1.1 porta 23350 ssh2 12 gennaio 11:28:15 ubuntu-leno1 sshd [8462]: password non riuscita per l'utente non valido Mickey dalla porta 172.25.1.1 37232 ssh2 12 gennaio 11:28:19 ubuntu-leno1 sshd [8465]: non riuscita password per utente non valido qwerty dalla porta 172.25.1.1 16474 ssh2 Jan 12 11:28:22 ubuntu-leno1 sshd [8467]: password non riuscita per utente non valido fiction dalla porta 172.25.1.1 29600 ssh2 Jan 12 11:28:26 ubuntu-leno1 sshd [8469]: password non riuscita per utente non valido arancione dalla porta 172.25.1.1 44845 ssh2 12 gennaio 11:28:30 ubuntu-leno1 sshd [8471]: password non riuscita per utente non valido tigger dalla porta 172.25.1.1 12038 ssh2 12 gennaio 11: 28:33 ubuntu-leno1 sshd [8474]: password non riuscita per il wheeling di utenti non validi dalla porta 172.25.1.1 49099 ssh2 12 gennaio 11:28:36 ubuntu-leno1 sshd [8476]: password non riuscita per invalidi ID utente mustang dalla porta 172.25.1.1 29364 ssh2 Jan 12 11:28:39 ubuntu-leno1 sshd [8478]: password non riuscita per utente non valido admin dalla porta 172.25.1.1 23734 ssh2 Jan 12 11:28:42 ubuntu-leno1 sshd [ 8480]: password non riuscita per l'utente non valido jennifer dalla porta 172.25.1.1 15409 ssh2 Jan 12 11:28:46 ubuntu-leno1 sshd [8483]: password non riuscita per utente non valido admin dalla porta 172.25.1.1 40680 ssh2 Jan 12 11:28: 48 ubuntu-leno1 sshd [8485]: password non valida per denaro utente non valido dalla porta 172.25.1.1 27060 ssh2 12 gennaio 11:28:52 ubuntu-leno1 sshd [8487]: password non riuscita per l'utente non valido Justin dalla porta 172.25.1.1 17696 ssh2 Jan 12 11:28:55 ubuntu-leno1 sshd [8489]: password non riuscita per l'utente admin non valido dalla porta 172.25.1.1 50546 ssh2 Jan 12 11:28:58 ubuntu-leno1 sshd [8491]: password non riuscita per root da 172.25. 1.1 porta 43559 ssh2 Jan 12 11:29:01 ubuntu-leno1 sshd [8494]: password non riuscita per utente admin non valido dalla porta 172.25.1.1 11206 ssh2
Jan 12 11:29:04 ubuntu-leno1 sshd [8496]: password non valida per utente non valido chris dalla porta 172.25.1.1 63459 ssh2 Jan 12 11:29:08 ubuntu-leno1 sshd [8498]: password non riuscita per utente non valido david da 172.25.1.1 porta 52512 ssh2 12 gennaio 11:29:11 ubuntu-leno1 sshd [8500]: password non valida per utente non valido foobar dalla porta 172.25.1.1 35772 ssh2 12 gennaio 11:29:14 ubuntu-leno1 sshd [8502]: non riuscita password per buster utente non valido dalla porta 172.25.1.1 18745 ssh2 12 gennaio 11:29:17 ubuntu-leno1 sshd [8505]: password fallita per utente non valido harley dalla porta 172.25.1.1 38893 ssh2 12 gennaio 11:29:20 ubuntu-leno1 sshd [8507]: password non valida per utente jordan non valido dalla porta 172.25.1.1 64367 ssh2 12 gennaio 11:29:24 ubuntu-leno1 sshd [8509]: password non riuscita per utente non valido stupido dalla porta 172.25.1.1 27740 ssh2 12 gennaio 11: 29:27 ubuntu-leno1 sshd [8511]: password non riuscita per utente non valido apple dalla porta 172.25.1.1 22873 ssh2 12 gennaio 11:29:30 ubuntu-leno1 sshd [8514]: password non riuscita per utente non valido f rosso dalla porta 172.25.1.1 54420 ssh2 12 gennaio 11:29:33 ubuntu-leno1 sshd [8516]: password non riuscita per utente amministratore non valido dalla porta 172.25.1.1 58507 ssh2 12 gennaio 11:29:42 ubuntu-leno1 sshd [8518] : Password non riuscita per utente non valido summer dalla porta 172.25.1.1 48271 ssh2 Jan 12 11:29:45 ubuntu-leno1 sshd [8520]: password non riuscita per utente non valido sunshine dalla porta 172.25.1.1 5645 ssh2 Jan 12 11:29:53 ubuntu -leno1 sshd [8523]: password non riuscita per l'utente non valido andrew dalla porta 172.25.1.1 44522 ssh2

Sembra che sto subendo un attacco di forza bruta ssh. È un evento comune, o sono specificamente mirato? Cosa dovrei fare ora? Devo considerare l'attacco riuscito e prendere delle misure?

----- Modifica -------

Il fatto che l'attacco provenga da un indirizzo IP interno è spiegato da questo server con un reindirizzamento ssh dall'esterno. È successo molto rapidamente dopo l'apertura della porta, tutti gli IP pubblici vengono scansionati in libertà alla ricerca di un server esistente dietro?

172.25.1.1 è che credo nell'intervallo IP privato (ad esempio non instradabile su Internet) quindi molto probabilmente si tratta di qualcuno vicino a te o di una macchina vicino a te.
I commenti non sono per discussioni estese; questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/34508/discussion-on-question-by-syldor-am-i-experiencing-a-brute-force-attack).
Otto risposte:
TheJulyPlot
2016-01-15 16:26:34 UTC
view on stackexchange narkive permalink

Sì, sembra che tu stia subendo un attacco di forza bruta. L'autore dell'attacco si trova su un indirizzo privato di classe B, quindi è probabile che sia qualcuno con accesso alla rete della tua organizzazione che sta conducendo l'attacco. Dai nomi utente sembra che stiano eseguendo un dizionario di nomi utente comuni.

Dai un'occhiata a 'Come fermare / prevenire SSH bruteforce' (Serverfault) e "Prevenzione degli attacchi SSH di forza bruta" (Rimu Hosting) su come adottare misure per mitigare alcuni dei rischi relativi agli attacchi di forza bruta SSH.

Mi ricorda [questo] (https://xkcd.com/742/) :)
nel frattempo, all'OP, aggiorna le tue password. Disabilita PermitRootLogin se non ne hai bisogno. Meglio ancora, disabilita gli accessi basati su password (cioè, solo gli accessi con chiave RSA).
Quando eravamo indipendenti, eravamo soliti mappare la posizione degli attacchi nei giorni dell'azienda @matt. Il 98% di tutti gli attacchi proveniva da Parigi, sede del nostro secondo ufficio ...
Quante probabilità ci sono che la rete sia stata compromessa (ad es. Virus sulla macchina di un utente) piuttosto che una persona reale all'interno dell'organizzazione?
@jpmc26 È * possibile * che un'altra macchina sia stata compromessa e l'aggressore stia tentando di eseguire il pivot attraverso la rete. Un virus * avrebbe potuto * essere in gioco in ogni possibile compromesso. Questa è solo una congettura e rimane una delle tante potenziali spiegazioni.
Molte informazioni da consultare! Sarà un lunedì divertente per la mia solita programmazione.
@syldor assicurati di mostrare loro il fumetto xkcd e vedi se qualcuno deve affrontare smorfie.
L'aggressore non si trova in un indirizzo privato di classe B.La porta viene reindirizzata dal firewall e in quanto tali i log hanno l'indirizzo del firewall interno.Non è la configurazione ideale.
16b7195abb140a3929bbc322d1c6f1
2016-01-15 16:26:39 UTC
view on stackexchange narkive permalink

Sì, sembra esattamente un attacco di forza bruta e dopo aver cercato su Google admins phoenix piglet rainbow sembra che questo sia l'elenco di parole utilizzato dall'aggressore: https://github.com / hydrogen18 / kojoney / blob / master / fake_users
Dai un'occhiata alla riga 116 in poi. L'elenco di parole viene utilizzato nello stesso identico ordine.
Sembra essere un elenco di parole generico poiché è presente anche su altri siti. per esempio. http://src.gnu-darwin.org/ports/net/kojoney/work/kojoney/fake_users

@TheJulyPlot ha fornito alcune buone informazioni su cosa fare per mitigare questo attacco.

Entrambi i collegamenti che hai fornito sono allo stesso software, quindi ovviamente sono lo stesso elenco di parole.
Questo è il motivo per cui ho detto "Questo sembra essere un elenco di parole generico in quanto presente anche su altri siti".
Rui F Ribeiro
2016-01-16 18:43:51 UTC
view on stackexchange narkive permalink

Aggiunta rapida nota su fail2ban , come molte persone lo hanno menzionato: il front-end è un firewall aziendale, il back-end vede solo il reindirizzamento / proxy / indirizzo interno fornito dal firewall.

Quindi no, 172.25.1.1 non è una macchina interna compromessa (e sia il commento nella risposta, sia altre risposte qui che affermano che si tratta di una macchina interna sono sbagliati quando lo commentano). È uno degli indirizzi IP interni del firewall.

Fail2ban nel back-end bloccherebbe solo tutte le possibilità di utilizzare SSH per tratti alla volta poiché vede solo i tentativi falliti da 172.25.1.1. Quindi, per favore, continua a leggere per la mia risposta.

Non ci sono dubbi, come menzionano altri post, è dolorosamente ovvio che sei sotto un attacco di forza bruta.

Tuttavia, questo non significa affatto che tu sia compromesso in alcun modo dai log che ci hai mostrato. Ahimè, oggigiorno gli attacchi di forza bruta ssh sono fin troppo comuni. Il più delle volte sono realmente automatizzati e non sei necessariamente preso di mira.

Come racconto di avvertimento aneddotico, alcuni anni fa, il primo giorno in cui ho installato nuovi server in un provider ISP, quello ssh aperto a Internet ha ottenuto più di 200k ssh di sonde di scansione in una sola notte.

Per quanto riguarda l '"indirizzo IP interno", o stai utilizzando SNAT o un reindirizzamento proxy 22 / TCP al massimo, e gli IP Internet di origine non mostrare (che non è la migliore pratica), o nel peggiore dei casi il tuo router / modem via cavo è compromesso.

Se hai davvero una configurazione SNAT / proxy SSH, ti consiglio di pensarci su . Vuoi i log degli indirizzi IP reali e non della tua rete.

Per quanto riguarda le misure, ne consiglio alcune:

  1. Non consentire password in SSH; solo accessi utilizzando certificati RSA;
  2. Non aprire ssh per l'esterno; limitalo alla tua rete interna;
  3. Per l'accesso dall'esterno, accedi tramite VPN; non esporre SSH a Internet in generale;
  4. SYN limitanti la velocità dall'esterno.

Se insisti assolutamente per avere ancora Internet SSH aperto all'esterno, tieni presente che cambiare la porta SSH predefinita dà solo un falso senso di sicurezza, e il blocco temporaneo degli indirizzi IP rallenta solo l'attacco come spesso si parla di fattorie coordinate di macchine zombie.

Potresti voler dare un'occhiata a fail2ban se modifichi la tua configurazione per ricevere direttamente indirizzi IP pubblici che si connettono a te; tuttavia, tieni presente che se effettivamente un IP esterno arriva con l'indirizzo IP del tuo gateway, stai effettivamente bloccando tutti gli accessi SSH esterni che lo utilizzano.

Ci sono anche altri avvertimenti; tieni presente che al giorno d'oggi gli zombi / malware prendono in considerazione fail2ban e torneranno dopo il periodo di timeout predefinito o si alterneranno con indirizzi IP diversi. (L'ho visto accadere.) Anche se si utilizza l'autenticazione del certificato RSA obbligatoria, gli attacchi alla password verranno comunque registrati e bruceranno I / O, spazio su disco e cicli della CPU.

Per quanto riguarda la VPN, non hai bisogno di hardware dedicato; è banale configurare una VPN in un server Linux o FreeBSD.

Se non ti senti a tuo agio nell'impostarne uno da zero, consiglio una VM con pfSense. per FreeBSD ; strongSwan per configurare una VPN in un server Linux.

Se il tuo server front-end è Linux, un'altra alternativa è il port knocking. Tuttavia a causa del suo funzionamento intrinseco, lo consiglio solo per ambienti domestici. Come correttamente sottolineato da @GroundZero, "il port knocking è protetto dall'oscurità e un utente malintenzionato può monitorare attivamente il tuo traffico di rete per scoprire la sequenza di knocking."

How To Usa il Port Knocking per nascondere il tuo demone SSH agli aggressori su Ubuntu

Come misura aggiuntiva, puoi anche limitare la velocità con le regole firewall / iptables SYN sulla porta 22. In questo modo, non limiterai la velocità delle tue connessioni legittime, e iptables in Linux o la maggior parte dei firewall commerciali lo consentono configurazione. Ho visto brutti trucchi come bot che attaccano alcuni demoni il più velocemente possibile prima che le regole di sicurezza entrino in vigore. Tuttavia credo che in realtà ssh abbia difese integrate contro questo.

Per risponderti sulla scansione dilagante, sì, davvero. Hai molti cattivi attori, reti zombie e malware che scansionano costantemente lo spazio degli indirizzi IP per trovare server con versioni compromesse di sshd, versioni vulnerabili / vecchie di sshd, server con password predefinite / errate / backdoor conosciute e semplicemente server con openssh da guadagnare un punto d'appoggio in un utente non privilegiato tramite attacchi di forza bruta o doppi attacchi tramite phishing.

Dopo tre attacchi riusciti tramite phishing (in eventi separati) nel mio host bastione nel mio lavoro attuale, ho deciso di fare una doppia configurazione ssh in quanto a tutti gli utenti viene richiesto un certificato RSA in sshd_config , e solo la rete interna consente l'autenticazione della password, aggiungendo alla fine del file di configurazione come tale: 

  # configurazione sshd che consente solo certificati RSA Indirizzo di corrispondenza 10.0.0.0/8,172.16.0.0/12,192.168.0.0/24PasswordAuthentication sì

Come un'altra storia spaventosa aneddotica, prima di passare ai certificati RSA obbligatori , uno dei compromessi di phishing è stato eseguito in t Nella settimana esatta ci sono stati due aggiornamenti del kernel per le vulnerabilità che hanno consentito l'escalation dei privilegi a root, e se non avessi aggiornato sul posto, sarei stato root compromesso. (e se la mia memoria non mi viene a mancare, era intorno al 4 luglio ... gli hacker adorano salvare quei brutti attacchi per i periodi di vacanza)

Per quanto riguarda i grafici degli attacchi live effettivi in ​​tempo reale, uno sguardo a:

Per finire la risposta:

No, probabilmente non sei compromesso in alcun modo.

Sì, devi prendere misure per aumentare il tuo livello di sicurezza. Consiglierei un tunnel / client VPN dall'esterno al tuo server VPN aziendale. È quello che sto facendo in realtà.

Ho anche un ultimo e importante consiglio: per assicurarti che un account normale non sia compromesso, controlla il tuo /var/log/auth.log log di autenticazione per un'autenticazione riuscita. Esistono modi per accedere a openssh con qualsiasi account senza che sia registrato in / var / log / wtmp e di conseguenza non compaia nel comando last .

Inutile dire che se un account normale viene compromesso in una vecchia macchina senza aggiornamenti, tutte le scommesse vengono annullate. E nello sfortunato caso di escalation dei privilegi a root, anche i log possono essere compromessi.

Ottima risposta, ho un reindirizzamento ssh e il tuo aneddoto mostra che questo genere di cose accadono molto rapidamente dopo l'apertura all'esterno.
Mi dispiace per i difetti dell'inglese perché non è la mia lingua madre. Ho vietato a tutti gli operatori Unix di utilizzare password e il server utilizzato dai professori per accedere dall'esterno ha una configurazione SSH in quanto tale che mentre consente login + password dalla rete interna, forza i certificati RSA da Internet. Puoi raggiungere la mia rete interna a casa solo tramite VPN + DNS dinamico e solo dopo essere stato autenticato dalla VPN, hai SSH + HTTP + DNS + voIP
(e ho configurato la mia VPN per essere utilizzata in modo nativo da OS / X e iPhone. Molto conveniente)
syldor, sei un modem via cavo, un server Linux o dietro un firewall aziendale (dato che 172.x.x.x non sono così comuni negli ambienti domestici)
Al lavoro oggi, e ho aggiunto alcuni bit molto * pertinenti * alla tua risposta.
Per log di autenticazione, intendi /var/log/auth.log? È lì che ho trovato i log, non sapevo di wtmp :)
Ed è un server Linux dietro un firewall aziendale, sì.
wtmp è un file binario in cui il comando `last` beve - viene ruotato di default ogni mese; e sì, auth.log. Solo se trovi un'autenticazione riuscita, significa che sei stato compromesso.
(Ho anche aggiornato la risposta con le regole del firewall anche prima di confermare che si tratta effettivamente di un firewall aziendale). Buona settimana.
Tornando indietro ... sul firewall che è il canale SSH ... Mi oppongo sempre con veemenza a un firewall che abbia qualsiasi tipo di servizio attivo / aperto. È un vettore di attacco. Un firewall dovrebbe solo inoltrare i pacchetti e non rispondere nemmeno ai PING. Grazie per aver selezionato la risposta tra l'altro.
Si noti che il port knocking è anche una forma di offuscamento e non aggiunge veramente sicurezza. Tuttavia, interromperà la maggior parte dei bot automatizzati e (nella maggior parte dei casi) richiederà a un utente malintenzionato di monitorare attivamente il traffico di rete per scoprire la sequenza di colpi
Sono d'accordo con te @GroundZero. Può essere utile in ambienti domestici, tuttavia utilizzo VPN sia al lavoro che a casa.
@GroundZero, ho ampliato il post con il tuo suggerimento per completezza. L'OP ha già dichiarato di avere un firewall aziendale.
Uso RSA e di solito prendo il log dai miei server e bando i brute forcers da iptables.
In questo caso particolare, comporterebbe una configurazione complicata, a meno che non si parli dell'attuale server syslog per il firewall aziendale. E lo sviluppo di un plug-in per fail2ban. A casa ho una VPN con strongswan, al lavoro passando attraverso un server VPN dedicato al team IT; non può essere infastidito con i log ssh brute-force che consumano risorse e lasciano un'altra porta (SSH) aperta agli attacchi di vulnerabilità. Hai bisogno di ssh, sei fuori, stai arrivando tramite VPN. Ho un server syslog centrale qui, nessun log pull. Ho client VPN + ssh sia sul mio notebook che sul mio iPhone e funzionano abbastanza bene.
Benoit Esnard
2016-01-15 16:29:27 UTC
view on stackexchange narkive permalink

Sì, vieni forzato. Ma non penso che dovresti preoccuparti di qualsiasi forza bruta che rilevi proveniente da Internet. Tuttavia, dovresti essere preoccupato per gli attacchi di forza bruta provenienti dalla tua rete.

Essere forzati è molto comune e fintanto che non usi password per SSH (o usi password valide) , l'attacco non avrà assolutamente successo (specialmente con una supposizione ogni 3-4 secondi).

Tuttavia, l'IP (172.25.1.1) è sulla stessa rete di te. Questo è il vero problema e dovresti verificare se questa macchina è compromessa il prima possibile .

_ "Non credo che dovresti preoccuparti di qualsiasi forza bruta che rilevi proveniente da Internet" _ Lo faccio. Installa un software di sicurezza di base come _fail2ban_ per evitare che questi attacchi (a) inciampino su una password corretta, (b) sprechino la tua larghezza di banda e (c) riempi i tuoi log.
Ciò che intendeva Benoit è che l'OP non dovrebbe essere preoccupato per questo particolare attacco - poiché è molto comune quando effettuato da Internet - ma piuttosto per il fatto che l'attaccante ha aumentato i privilegi e ora sta attaccando dalla rete interna, avendo quindi l'accesso alle risorse e ai server dell'organizzazione del PO.
Sto affrontando la forza bruta da diversi IP esterni ma in aggiunta a quello;il fatto è che sto affrontando "attacchi di forza bruta provenienti dalla tua rete" anche sugli URL della mia applicazione Web e sta consumando tutta la mia quota API. Ricevo l'indirizzo IP del mio server su req.headers ['user-agent'].Per favore aiutami in questo senso.Ringraziandovi!
Kevin_Kinsey
2016-01-16 00:06:15 UTC
view on stackexchange narkive permalink

Stai sopravvivendo all'attacco, dalle apparenze. SSH sta facendo quello che dovrebbe fare. Tuttavia, vedi sotto per alcuni passaggi da eseguire al più presto per garantire la sopravvivenza.

Inoltre, e sfortunatamente, un sistema all'interno della rete è stato compromesso. Troppo comune in questi giorni. Dovresti accertare la natura di questo attacco apparentemente interiore, ma non dare per scontato che questo sistema sia compromesso semplicemente sulla base di questo file di log . Chiunque gestisca un SSHD con connessione web lo ha visto prima, più e più volte, per anni. Correggi l'installazione di SSHD su questo host, quindi esamina il sistema su 172.25.1.1.

Segui le migliori pratiche SSHD come queste ...

Disattiva l'autenticazione della password a favore di autenticazione basata su chiave: 

  # grep PasswordAuth sshd_config | grep noPasswordAuthentication no

Come accennato, disabilita i login di root: 

  PermitRootLogin no

Aggiungi utenti autorizzati a sshd_config: 

  AllowUsers myusername the_other_sysop_guy

Se esegui l'ultimo, il messaggio di log cambierà da "utente non valido" a "utente illegale".

A seconda della situazione aziendale, puoi anche pensare a firewallare la porta SSHD (consentire SSH solo da indirizzi IP autorizzati) o cambiarlo utilizzando una porta diversa (che è davvero sicurezza per oscurità, ma la maggior parte degli attacchi di questa natura sono in realtà script). Purtroppo, il fatto che l'aggressore sembri essere all'interno della tua LAN potrebbe far sì che questi non offrano tanto aiuto quanto avrebbero altrimenti.

Per inciso, il fatto che il dispositivo sia a 1.1 mi fa chiedere se " sei entrato nel tuo router? ;-)

Oltre a "root", tendo anche a proibire gli accessi SSH agli utenti con ampi privilegi sudo, dal momento che sono altrettanto dannosi se compromessi. Sui sistemi moderni, lo stesso "root" spesso non ha nemmeno una password per cominciare.
Anche se in genere sembra una buona idea, cosa fai per il sysop che ha bisogno di privilegi "ampi"? E a quali "sistemi moderni" ti riferisci ... nessuna password di root sembra un tantino controintuitivo ... a meno che non ci sia un account di root? :)
D3X
2016-01-15 16:41:12 UTC
view on stackexchange narkive permalink

L'aspetto standard dei log sembra essere un comune attacco di forza bruta poiché i nomi inseriti nei log provengono da un dizionario standard utilizzato. Anche gli elenchi di parole comuni li considerano come i nomi utente di destinazione principale. Inoltre, l'iniezione proviene da un IP privato di classe B. Non preoccuparti, però, fintanto che le password che hai applicato sono abbastanza forti e hai un bilanciamento del carico per gestirlo, non sarà un problema per te. Cerca misure per proteggerlo nelle misure di protezione della forza bruta SSH in SSH.

Dmitry Grigoryev
2016-01-17 02:08:41 UTC
view on stackexchange narkive permalink

Poiché tutti gli accessi SSH al tuo server vengono reindirizzati tramite lo stesso indirizzo IP locale, ti consiglio di usare fail2ban con attenzione, se decidi di usarlo. L'installazione di fail2ban sullo stesso server di sshd comporterà il blocco dell'IP 172.25.1.1 sul posto. Dopodiché, nessuno sarà in grado di accedere tramite SSH al tuo server.

Se puoi installare fail2ban sul server che reindirizza il traffico SSH, fallo. Uso fail2ban sul mio server SSH pubblico e fa un ottimo lavoro limitando l'attaccante a 3 tentativi in ​​10 minuti. La maggior parte degli script "cracking" utilizzati dagli script kiddies andranno semplicemente in timeout dopo questi 3 tentativi e non mi daranno più fastidio per giorni.

`fail2ban` controlla i log per le autenticazioni fallite, è una magia, e il server frontend non avrà i log.
(quindi posizionarlo su un server frontend che reindirizza il servizio non funzionerà in quanto fail2ban non avrà assolutamente alcuna idea se si tratta di tentativi legittimi o falliti nel backend)
Bruce Ediger
2016-01-19 04:44:11 UTC
view on stackexchange narkive permalink

Puoi anche rallentare la password che indovina l'attaccante abbastanza facilmente.

Nel file /etc/pam.d/sshd , puoi aggiungere una riga come questa: 

  auth optional pam_faildelay.so delay = 7000000

Ad ogni tentativo di accesso sshd fallito, il modulo PAM attenderà 7 secondi. Potresti voler aumentare o diminuire il ritardo, perché se imposti la tua password, aspetti 7 secondi per ricevere un altro prompt. Azzardo l'ipotesi che la maggior parte dei programmi per indovinare la password SSH siano così poco sofisticati da non avere un timeout per l'attesa di un nuovo prompt, ma è possibile che un ritardo molto lungo causi il timeout di programmi di indovinazione migliori a un certo punto. / p>

Questa sembra un'idea interessante e un oscuro bocconcino di cui non ero a conoscenza.
Mi chiedo come la risposta più votata abbia una risposta sbagliata, e questa non merita alcuna attenzione.Peccato non poter votare più di una volta.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...