Qualcuno sta cercando di hackerare il mio server? Cosa posso fare?

Alcune settimane fa ho pubblicato una domanda qui su alcuni sshproblemi che stavo riscontrando con una scatola Ubuntu 12.04. Velocemente oggi e sto cercando di consentire a qualcun altro l'accesso alla macchina, ma continuano a ricevere errori di password. Ho controllato var/logs/auth.logper ulteriori informazioni e ho trovato questo:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

Ho quasi 10000 righe che sembrano dire più o meno la stessa cosa (ci sono anche 4 file auth.log.gz, che presumo siano più o meno gli stessi?). A volte è presente un nome utente casuale associato alla richiesta,input_userauth_request: invalid user bash [preauth]

Non so molto sui server, ma sembra che qualcuno stia cercando di accedere al mio.

Ho cercato su Google come bloccare un indirizzo IP in Ubuntu e iptables -A INPUT -s 211.110.xxx.x -j DROPho finito con questo:, ma dopo aver eseguito quel comando e verificato i log, ricevo ancora richieste da questo IP ogni 5 secondi.

Come posso saperne di più su cosa sta succedendo e gestire queste costanti richieste?

Da quello che descrivi, sembra un attacco automatico al tuo server. La maggior parte degli attacchi sono, a meno che l'attaccante non ti conosca personalmente e stia trattando un rancore ...

Ad ogni modo, potresti voler esaminare denyhosts, che puoi ottenere dai soliti repository. Può analizzare ripetuti tentativi e bloccherà il loro indirizzo IP. Potresti comunque ottenere qualcosa nei tuoi registri, ma almeno aiuterà a mitigare eventuali problemi di sicurezza.

Per quanto riguarda ottenere maggiori informazioni, non mi preoccuperei davvero. A meno che non siano dilettanti, useranno un server remoto per fare il loro sporco lavoro che non ti dirà nulla di chi sono realmente. La soluzione migliore è trovare l'amministratore dell'intervallo IP (WHOIS è tuo amico qui) e far loro sapere che stai ricevendo molti tentativi di accesso da quell'IP. Potrebbero essere abbastanza bravi da fare qualcosa al riguardo.

Non vuoi vedere questo tentativo di accesso fallito nei tuoi registri, quindi dovresti filtrare questo IP nella rete.

Se si dispone di un proprio router o firewall hardware (non quello sul server), utilizzarlo per bloccare questo IP. Puoi anche chiedere al tuo provider di servizi Internet di bloccarlo.

Se il server è VPS, chiedi al tuo provider VPS di bloccare questo IP. Nella maggior parte dei casi non rifiuteranno la tua richiesta di aiuto, perché non costa nulla.

Gli attacchi da un singolo IP possono essere facilmente mitigati rispetto agli attacchi provenienti da molti IP diversi. Per proteggerti dagli attacchi distribuiti hai bisogno di un servizio speciale da parte del provider di rete che devi pagare. A livello di server puoi combattere con Denyhosts o Fail2ban. Fail2ban protegge non solo ssh ma altri servizi. Usa un po 'più di memoria. Fail2ban usa iptables per bloccare gli IP e DenyHosts usa il file hosts.deny, entrambi usano i log per trovare tentativi malevoli. È inoltre possibile configurare iptables per tentativi ssh di limitazione della velocità che non si basano sui log.

Tutte le buone risposte sopra, tuttavia ...

Hai scritto "Sto cercando di consentire a qualcun altro l'accesso alla macchina, ma continuano a ricevere errori di password"

Poiché la maggior parte di noi si trova su un IP dinamico con un tempo di leasing DNS del provider limitato, la maggior parte di noi utilizza un servizio DNS dinamico per accedere al nostro server quando è in viaggio. Potrebbe essere che anche l'utente remoto stia utilizzando un tale servizio per raggiungerti e che sia l'indirizzo IOP che stai vedendo?

A proposito: molti hacker "port tap" si affidano a te facendo ciò che fanno molti utenti del server di casa, vale a dire che non cambiano l'id di accesso allo stato di consegna predefinito. (spesso "admin" !!) e spara attraverso tutte le possibili combinazioni della password

Penso che scoprirai che il 99% dei tentativi di hacking proviene dalla Cina. Questo è quello che ho trovato. È inutile segnalare un IP cinese per l'hacking poiché è probabilmente sanzionato dallo stato. Non blocco solo l'IP, blocco l'intervallo in cui si trova l'IP. Usa l'opzione "sottorete" sul tuo router o con IPTables sul tuo box Linux, usa la sottorete o "/ bit" (es: / 24). Questa pagina ti fornirà un elenco di blocchi IP per paese (c'è un file tar.gz con tutti): http://www.ipdeny.com/ipblocks/data/countries . La pagina Web di WHOIS https://whois-search.com/ ti dà un buon punto di partenza in quale paese cercare.

1 °. A meno che non sia necessario aprire mai porte standard sul server in rete. Imposta il router per aprire una porta casuale come 53846 e inoltrarla alla porta 22 di quella macchina.

Gli hacker di opportunità possono scansionare una vasta gamma di indirizzi IP per porte conosciute come 22 e provare a sfruttare.

2o lo ha colpito indietro. Mappalo e scopri cosa sta correndo. Quindi prova ad accedere al suo. Proprio come il fuoco di ritorno. Se sa che sei su di lui, l'orlo potrebbe fermarsi.

Potresti anche eseguire il ping come un matto come un colpo di avvertimento.

3 ° Se vuoi divertirti un po ', puoi aprire l'account ospite. Assicurati che non ci siano affatto i privilegi. Confinalo nella home directory degli ospiti. Se vuoi diventare carino puoi impostare una struttura di directory radice falsa per una corsa. Imposta la password come comune o nessuna password. Accedi.

Quindi puoi usare il comando write e chiedergli perché insiste per martellare il tuo server.