Quando si controlla il log di autenticazione di un server con il comando:
grep sshd. \ * Fallito /var/log/auth.log | less
Vedo migliaia di righe come questa:
Jan 12 11:27:10 ubuntu-leno1 sshd [8423]: password non riuscita per utente non valido amministratori dalla porta 172.25.1.1 44216 ssh2 12 gennaio 11:27:13 ubuntu-leno1 sshd [8425]: password non riuscita per utente phoenix non valido dalla porta 172.25.1.1 20532 ssh2 12 gennaio 11:27:17 ubuntu-leno1 sshd [8428] : Password non riuscita per il maialino utente non valido dalla porta 172.25.1.1 24492 ssh2 12 gennaio 11:27:22 ubuntu-leno1 sshd [8430]: password non riuscita per il rainbow utente non valido dalla porta 172.25.1.1 46591 ssh2 12 gennaio 11:27:25 ubuntu -leno1 sshd [8432]: password non riuscita per utente runner non valido dalla porta 172.25.1.1 57129 ssh2 12 gennaio 11:27:34 ubuntu-leno1 sshd [8434]: password non riuscita per utente non valido sam dalla porta 172.25.1.1 11960 ssh2 12 gennaio 11:27:37 ubuntu-leno1 sshd [8437]: password non riuscita per utente non valido abc123 da 172.25.1.1 porta 5921 ssh2 12 gennaio 11:27:40 ubuntu-leno1 sshd [8439]: password non riuscita per utente non valido passwd da 172.25. 1.1 porta 21208 ssh2 Jan 12 11:27:43 ubuntu-leno1 sshd [8441]: password non riuscita per newpass utente non valido dalla porta 172.25.1.1 65416 ssh2 Jan 12 11:27:46 ubuntu-leno1 sshd [8445]: password non riuscita per newpass utente non valido da 172.25.1.1 porta 26332 ssh2 12 gennaio 11:27:49 ubuntu-leno1 sshd [8447]: password non riuscita per utente non valido non utilizzata dalla porta 172.25.1.1 51126 ssh2 12 gennaio 11:27:52 ubuntu-leno1 sshd [8449]: non riuscita password per utente non valido Hockey dalla porta 172.25.1.1 14949 ssh2 12 gennaio 11:27:56 ubuntu-leno1 sshd [8451]: password non riuscita per utente Internet non valido dalla porta 172.25.1.1 35105 ssh2 12 gennaio 11:27:59 ubuntu-leno1 sshd [8453]: password non riuscita per utente non valido stronzo dalla porta 172.25.1.1 7916 ssh2 12 gennaio 11:28:02 ubuntu-leno1 sshd [8456]: password non riuscita per utente non valido Maddock dalla porta 172.25.1.1 26431 ssh2
12 gennaio 11:28:05 ubuntu-leno1 sshd [8458]: password non riuscita per l'utente non valido Maddock dalla porta 172.25.1.1 53406 ssh2 12 gennaio 11:28:09 ubuntu-leno1 sshd [8460]: password non riuscita per computer utente non valido da 172.25.1.1 porta 23350 ssh2 12 gennaio 11:28:15 ubuntu-leno1 sshd [8462]: password non riuscita per l'utente non valido Mickey dalla porta 172.25.1.1 37232 ssh2 12 gennaio 11:28:19 ubuntu-leno1 sshd [8465]: non riuscita password per utente non valido qwerty dalla porta 172.25.1.1 16474 ssh2 Jan 12 11:28:22 ubuntu-leno1 sshd [8467]: password non riuscita per utente non valido fiction dalla porta 172.25.1.1 29600 ssh2 Jan 12 11:28:26 ubuntu-leno1 sshd [8469]: password non riuscita per utente non valido arancione dalla porta 172.25.1.1 44845 ssh2 12 gennaio 11:28:30 ubuntu-leno1 sshd [8471]: password non riuscita per utente non valido tigger dalla porta 172.25.1.1 12038 ssh2 12 gennaio 11: 28:33 ubuntu-leno1 sshd [8474]: password non riuscita per il wheeling di utenti non validi dalla porta 172.25.1.1 49099 ssh2 12 gennaio 11:28:36 ubuntu-leno1 sshd [8476]: password non riuscita per invalidi ID utente mustang dalla porta 172.25.1.1 29364 ssh2 Jan 12 11:28:39 ubuntu-leno1 sshd [8478]: password non riuscita per utente non valido admin dalla porta 172.25.1.1 23734 ssh2 Jan 12 11:28:42 ubuntu-leno1 sshd [ 8480]: password non riuscita per l'utente non valido jennifer dalla porta 172.25.1.1 15409 ssh2 Jan 12 11:28:46 ubuntu-leno1 sshd [8483]: password non riuscita per utente non valido admin dalla porta 172.25.1.1 40680 ssh2 Jan 12 11:28: 48 ubuntu-leno1 sshd [8485]: password non valida per denaro utente non valido dalla porta 172.25.1.1 27060 ssh2 12 gennaio 11:28:52 ubuntu-leno1 sshd [8487]: password non riuscita per l'utente non valido Justin dalla porta 172.25.1.1 17696 ssh2 Jan 12 11:28:55 ubuntu-leno1 sshd [8489]: password non riuscita per l'utente admin non valido dalla porta 172.25.1.1 50546 ssh2 Jan 12 11:28:58 ubuntu-leno1 sshd [8491]: password non riuscita per root da 172.25. 1.1 porta 43559 ssh2 Jan 12 11:29:01 ubuntu-leno1 sshd [8494]: password non riuscita per utente admin non valido dalla porta 172.25.1.1 11206 ssh2
Jan 12 11:29:04 ubuntu-leno1 sshd [8496]: password non valida per utente non valido chris dalla porta 172.25.1.1 63459 ssh2 Jan 12 11:29:08 ubuntu-leno1 sshd [8498]: password non riuscita per utente non valido david da 172.25.1.1 porta 52512 ssh2 12 gennaio 11:29:11 ubuntu-leno1 sshd [8500]: password non valida per utente non valido foobar dalla porta 172.25.1.1 35772 ssh2 12 gennaio 11:29:14 ubuntu-leno1 sshd [8502]: non riuscita password per buster utente non valido dalla porta 172.25.1.1 18745 ssh2 12 gennaio 11:29:17 ubuntu-leno1 sshd [8505]: password fallita per utente non valido harley dalla porta 172.25.1.1 38893 ssh2 12 gennaio 11:29:20 ubuntu-leno1 sshd [8507]: password non valida per utente jordan non valido dalla porta 172.25.1.1 64367 ssh2 12 gennaio 11:29:24 ubuntu-leno1 sshd [8509]: password non riuscita per utente non valido stupido dalla porta 172.25.1.1 27740 ssh2 12 gennaio 11: 29:27 ubuntu-leno1 sshd [8511]: password non riuscita per utente non valido apple dalla porta 172.25.1.1 22873 ssh2 12 gennaio 11:29:30 ubuntu-leno1 sshd [8514]: password non riuscita per utente non valido f rosso dalla porta 172.25.1.1 54420 ssh2 12 gennaio 11:29:33 ubuntu-leno1 sshd [8516]: password non riuscita per utente amministratore non valido dalla porta 172.25.1.1 58507 ssh2 12 gennaio 11:29:42 ubuntu-leno1 sshd [8518] : Password non riuscita per utente non valido summer dalla porta 172.25.1.1 48271 ssh2 Jan 12 11:29:45 ubuntu-leno1 sshd [8520]: password non riuscita per utente non valido sunshine dalla porta 172.25.1.1 5645 ssh2 Jan 12 11:29:53 ubuntu -leno1 sshd [8523]: password non riuscita per l'utente non valido andrew dalla porta 172.25.1.1 44522 ssh2
Sembra che sto subendo un attacco di forza bruta ssh. È un evento comune, o sono specificamente mirato? Cosa dovrei fare ora? Devo considerare l'attacco riuscito e prendere delle misure?
----- Modifica -------
Il fatto che l'attacco provenga da un indirizzo IP interno è spiegato da questo server con un reindirizzamento ssh dall'esterno. È successo molto rapidamente dopo l'apertura della porta, tutti gli IP pubblici vengono scansionati in libertà alla ricerca di un server esistente dietro?