16 votos

¿Mi servidor es atacado?

Ayer creé una gotita de 18.04 de Ubuntu, con una imagen de v4.0.2 MongoDB en DigitalOcean y hoy he comprobado el `` archivo... Lo que vi es esto:

Miles de conexión intentos de registros! Y todavía va!

Que soy el único con acceso al servidor y el único puerto he dejado abierto, es 22.

¿Qué pasa?

47voto

Zee Puntos 118

Este tráfico es de un Chino de origen dirección de IP (información básica de la dirección IP en la dnslytics.com) y se está tratando de inicio de sesión con autenticación de contraseña a su root usuario a través de SSH.

Hay preocupaciones principales cuando se ejecuta cualquiera de Internet del servicio:

  1. TODAS las direcciones IP en todas partes cuando se conectan a internet son investigados.
  2. Cuando algunas sondas encontrar puertos abiertos, tales como SSH puertos, amenazas maliciosas actores intentará continuar con sondas para ver si se puede entrar en su sistema con los ataques de contraseña.

Ambos son un estándar de facto de Internet de los servicios. Y como tal, muchas de estas amenazas están en curso. Sin embargo, esto le sucede a muchos de los servicios - no sólo SSH.

Estos tipos de sondas es raro cesar. Esta es la razón por la que usted debe tener cuidado cuando la exposición de servicios de Internet.

Basado en lo que he visto en el pasado, y mi conocimiento de la Seguridad informática, así como el conocimiento de primera mano que he ganado gracias a la ejecución de múltiples Internet de los servicios orientados a mí mismo, esta actividad se ve como el típico servicio de escaneo y comprobación de la actividad que se sucede a la mayoría de los sistemas que están directamente frente al Internet. Eso no significa que su servidor está directamente bajo ataque. Simplemente, lo que ha ocurrido es un servicio de escáner encontrado el servidor respondió en el puerto 22, y en repetidas ocasiones de volver y los intentos de autenticación con contraseñas débiles, en un intento de violación el servidor. Esto no es raro ver en Internet las conexiones.

Hay un par de cosas que usted puede hacer, sin embargo, para mitigar esto un poco más:

  1. Deshabilitar el acceso de inicio de sesión SSH para la root usuario directamente.

    Editar /etc/ssh/sshd_config, busque la línea que dice PermitRootLogin y asegúrese de que está ajustado a prohibit-password o no.

    Tenga en cuenta que usted tendrá que tener un usuario no root usuario que puede iniciar sesión si usted hace esto; de esta manera se protege el root de usuario, y usted tiene un usuario no-root que puede tener sudo de acceso configurado para ellos por lo que todavía puede ejecutar comandos como superusuario necesario. (NUNCA SSH como root de su admin funciones y acciones!)

  2. Desactivar la contraseña de autenticación, y configurar la Autenticación de Clave SSH como la única viable SSH mecanismo de inicio de sesión. Hay un montón de guías sobre cómo hacer esto, como esta de Digital Ocean.

  3. Establecer algo como fail2ban para ayudar a bloquear los intentos de fuerza bruta. Este es un proceso complicado en sí mismo, pero usted puede conseguir la configuración básica se hace por hacer sudo apt install fail2ban. Este será fijado por defecto para estar habilitado para proteger SSH conectividad.

  4. Configurar un servidor de seguridad antes de continuar añadiendo servicios adicionales. De esta manera usted puede solamente recibir conexiones de confianza para los servicios que desee ofrecer a Internet en lugar de dejar todo lo expuesto.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: