Свежий недавно арендованный сервер, спам с попытками входа в систему
Здравствуйте, я только что арендовал сервер на hetzner.de и решил проследить итоги в linode для обеспечения безопасности моего сервера!
Я только что завершил настройку OSSEC, а затем сразу же получил спам по почте:
OSSEC HIDS Notification.
2016 Apr 04 17:33:10
Received From: Debian-83-jessie-64-LAMP->/var/log/auth.log
Rule: 5720 fired (level 10) -> "Multiple SSHD authentication failures."
Portion of the log(s):
Apr 4 17:33:08 Debian-83-jessie-64-LAMP sshd[16267]: Failed password for root from 81.246.42.242 port 48275 ssh2
Apr 4 17:33:07 Debian-83-jessie-64-LAMP sshd[16267]: Failed password for root from 81.246.42.242 port 48275 ssh2
Apr 4 17:32:27 Debian-83-jessie-64-LAMP sshd[16261]: Failed password for root from 81.246.42.242 port 50924 ssh2
Apr 4 17:32:25 Debian-83-jessie-64-LAMP sshd[16261]: Failed password for root from 81.246.42.242 port 50924 ssh2
Apr 4 17:32:23 Debian-83-jessie-64-LAMP sshd[16261]: Failed password for root from 81.246.42.242 port 50924 ssh2
Apr 4 17:31:42 Debian-83-jessie-64-LAMP sshd[16226]: Failed password for root from 81.246.42.242 port 43742 ssh2
Apr 4 17:31:40 Debian-83-jessie-64-LAMP sshd[16226]: Failed password for root from 81.246.42.242 port 43742 ssh2
Apr 4 17:31:38 Debian-83-jessie-64-LAMP sshd[16226]: Failed password for root from 81.246.42.242 port 43742 ssh2
--END OF NOTIFICATION
OSSEC HIDS Notification.
2016 Apr 04 17:44:09
Received From: Debian-83-jessie-64-LAMP->/var/log/auth.log
Rule: 2502 fired (level 10) -> "User missed the password more than one time"
Portion of the log(s):
Apr 4 17:44:08 Debian-83-jessie-64-LAMP sshd[17133]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=242.42-246-81.adsl-static.isp.belgacom.be user=root
--END OF NOTIFICATION
я новичок на серверах, так что не знаете, что это сделать? это случайный бот на belgacom.be, который пытается взломать мой пароль, я должен просто занести в черный список ip?
3 ответа
Добавление в черный список IP-адреса не решит вашу проблему, через несколько секунд вы также будете атакованы другим IP-адресом.
81.246.42.242 прибывает из Бельгии (проверено с ip2location). Способ решения этой проблемы - заблокировать все IP-адреса и разрешить доступ только к вашему IP-адресу или подсети. Однако вместо этого я рекомендую использовать SSH-ключи и отключить root ssh логины.
Для дополнительной информации; Настройка брандмауэра Настройка SSH-ключа
Такого рода события / журналы для ssh вездесущи. Некоторые люди говорят "изменить порт", но, как вы можете видеть, они сканируют все ваши порты, как вы можете видеть из журналов, поэтому, ИМХО, безопасность через затенение (изменение порта 22 для ssh) мало что добавляет к безопасности и может или может не тихие журналы.
Вы должны защитить свой SSH-сервер. Лично я использую ключи и отключаю пароли, root-логины без пароля и несколько правил в iptables.
Я предлагаю вам взглянуть на
Первое правило ИТ-безопасности заключается в том, что вы будете заставлять людей пытаться атаковать все, с чем сталкивается веб.
Порт 22 является распространенной целью для сканеров портов и подобных атак, направленных на взлом сервиса. Для SSH работа на другом порту помогает немного смягчить это; настройка брандмауэра на фильтрацию через порт SSH, чтобы только SS, которым вы доверяете, могли достичь SSH, является более эффективной системой.
Это обычно видно при любом обращении к Интернету. Вы, вероятно, только один из многих, кто получает много попыток входа в систему. Пришло время заблокировать его, изменив порты и затем IP, ограничив соединения, которые вы разрешаете с вашим SSH-портом в брандмауэре.