Azure の Linux VM へのハッキングの試み

Azure の Linux VM へのハッキングの試み

非常に奇妙な状況です。新しい VM を作成したばかりですが、まだ 30 分しか動作していません。次のような奇妙なアクティビティが発生していますauth.log

Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11:  [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root

VM を更新/アップグレードして、新しいadmユーザーを追加しただけです。どうしてこんなに早く攻撃されるのでしょうか?

答え1

これはよくあることです。「ハッカー」は Azure IP のリストを使用して、ブルート フォース SSH でサーバーにアクセスしようとします。上記のログが示すように、失敗しただけです。IP はおそらく別の Azure VM から割り当てられていないものでしょう。

私がオンラインでセットアップしたほぼすべてのサーバーにこの問題が発生しています。実行することをお勧めするアクションが 2 つあります。

  1. SSHポートを別のものに変更するこれにより、攻撃を受ける可能性が大幅に減少します。

  2. インストール失敗2バンこれにより、一定期間 IP を禁止したり、x 回の認証が行われたときに永久に IP を禁止したりできるようになります。

また、キーのみの SSH を使用すると、セキュリティがさらに向上します。

答え2

まだハッキングされていませんが、誰かが侵入しようとしています。

実装すべきフェイル2バン設定された回数のログイン試行が失敗した後に IP を一時的にブロックします。

あなたの状況には、「新しい VM または adm ユーザー」であることが意味を持つようなものは何もありません。攻撃はアカウントに対して行われroot、VM は、VM に割り当てられる前に存在していた IP アドレス上にあります。誰かがポート スキャンを実行し、ポートがアップしていることに気付き、分散ブルート フォース攻撃を試みました。IP アドレスの以前の割り当て者も SSH サービスを使用していた可能性が高いため、以前の割り当て者に対してすでに進行中の攻撃が発生している可能性があります。私たちにはそれを知る方法はありません。

答え3

これは非常に一般的な状況であり、残念ながら継続的に発生します。これらの試行は、IP の全クラスをランダムに調査するボットによるもので、VM を展開してから 30 分後に発生しました。気になる場合は、fail2ban をインストールすることをお勧めします。

答え4

リモートホストに正当にログインするときは、パスワードの使用を避けるためにSSHキーを使用する必要があります...それが真実になったら、そのリモートホストでのパスワードの許可を無効にします...リモートホストで編集

vi /etc/ssh/sshd_config

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no

次に、リモート ホスト上で次のコマンドを発行して、SSH デーモンを再起動します。

sudo service sshd restart

(パスワードを使用してログインしていない限り、SSH ログイン セッションが終了することはありません)

この変更により、パスワードを使用するすべてのログイン試行が事前に阻止され、それらのメッセージは停止します。

Failed password for root from 182.100.67.173 port 41144 ssh2

関連情報