verdächtiger IP-Versuch, eine Verbindung zum Server herzustellen

tag-icon tag-icon networking security ufw
verdächtiger IP-Versuch, eine Verbindung zum Server herzustellen

Ich erhalte die Meldung „ suspicious ip [x.x.x.x] attempt to connect server Welche Maßnahmen muss ich bei diesem Problem ergreifen?“ Der betroffene Server ist ein Ubuntu 14.04-Server und hat ufweine öffentliche IP.

ufw-Protokoll:

Nov  3 12:12:55  kernel: [358619.800870] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=37.139.191.161 DST=10.0.0.12 LEN=44 TOS=0x00 PREC=0x00 TTL=44 ID=8329 PROTO=TCP SPT=43730 DPT=23 WINDOW=23100 RES=0x00 SYN URGP=0
Nov  3 12:14:08  kernel: [358692.822316] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=122.114.182.64 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=233 ID=48132 PROTO=TCP SPT=54910 DPT=1433 WINDOW=1024 RES=0x00 SYN URGP=0
Nov  3 12:14:11  kernel: [358696.027769] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=89.248.172.16 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=52590 PROTO=TCP SPT=46640 DPT=8009 WINDOW=62657 RES=0x00 SYN URGP=0
Nov  3 12:14:43  kernel: [358727.590448] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=123.249.3.172 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=107 ID=256 PROTO=TCP SPT=37365 DPT=8080 WINDOW=16384 RES=0x00 SYN URGP=0
Nov  3 12:14:45  kernel: [358729.683181] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=218.29.142.44 DST=10.0.0.12 LEN=44 TOS=0x00 PREC=0x00 TTL=234 ID=44905 PROTO=TCP SPT=50889 DPT=1433 WINDOW=1024 RES=0x00 SYN URGP=0
Nov  3 12:16:01  kernel: [358806.142162] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=176.109.226.160 DST=10.0.0.12 LEN=44 TOS=0x00 PREC=0x00 TTL=47 ID=8329 PROTO=TCP SPT=43730 DPT=23 WINDOW=23100 RES=0x00 SYN URGP=0
Nov  3 12:16:24  kernel: [358829.214991] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=212.142.159.191 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=35874 PROTO=TCP SPT=13461 DPT=23 WINDOW=9861 RES=0x00 SYN URGP=0
Nov  3 12:17:16  kernel: [358881.046988] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=45.55.29.228 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=238 ID=54321 PROTO=TCP SPT=57539 DPT=3306 WINDOW=65535 RES=0x00 SYN URGP=0

auth.log

/var/log$ tailf auth.log

Nov  3 12:47:55  sshd[10102]: Failed password for root from 58.218.198.146 port 50077 ssh2
Nov  3 12:48:00  sshd[10102]: message repeated 2 times: [ Failed password for root from 58.218.198.146 port 50077 ssh2]
Nov  3 12:48:01  sshd[10102]: Received disconnect from 58.218.198.146: 11:  [preauth]
Nov  3 12:48:01  sshd[10102]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root
Nov  3 12:48:17  sshd[10104]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root
Nov  3 12:48:19  sshd[10104]: Failed password for root from 58.218.198.146 port 27919 ssh2
Nov  3 12:48:24  sshd[10104]: message repeated 2 times: [ Failed password for root from 58.218.198.146 port 27919 ssh2]
Nov  3 12:48:24  sshd[10104]: Received disconnect from 58.218.198.146: 11:  [preauth]
Nov  3 12:48:24  sshd[10104]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root
Nov  3 12:48:37  sshd[10108]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root
Nov  3 12:48:39  sshd[10108]: Failed password for root from 58.218.198.146 port 43229 ssh2
Nov  3 12:48:43  sshd[10108]: message repeated 2 times: [ Failed password for root from 58.218.198.146 port 43229 ssh2]
Nov  3 12:48:43  sshd[10108]: Received disconnect from 58.218.198.146: 11:  [preauth]
Nov  3 12:48:43  sshd[10108]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root

Antwort1

Hierbei handelt es sich um automatisierte Versuche, in Ihren SSH-Server einzudringen, und sie kommen sehr häufig vor.

Meiner Meinung nach sind die wichtigsten Maßnahmen, die Sie ergreifen sollten:

  1. Erlaube nur die SSH-Anmeldung über Schlüssel und deaktiviere Passwörter.

  2. Erlauben Sie root keinen Login.

Sie müssen keine zusätzlichen Dienste installieren, Sie können dieses Problem mit iptables lösen.

Installieren Sie zuerst iptables-persistent

sudo apt-get install iptables-persistent

Dann

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource

sudo iptables -A INPUT -m recent --update --rchedk --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j --reject-with icmp-host-prohibited 

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

„--hit count“ ist die Anzahl der neuen Verbindungen. Bedenken Sie, dass jede neue Verbindung mehrere Möglichkeiten bietet, ein Passwort einzugeben. Wenn Sie scp verwenden, wählen Sie einen höheren Hitcount, da jede Datei eine neue SSH-Sitzung darstellt.

„--seconds“ Wie lange eine IP-Adresse auf der schwarzen Liste bleibt. 10 Minuten reichen normalerweise aus, um die meisten „Script Kiddies“ abzuschrecken.

Weitere Informationen/Vorschläge finden Sie unterhttp://bohizazen.com/Tutorials/SSH_security

verwandte Informationen