Hacking-Versuche auf Linux-VM in Azure

tag-icon tag-icon linux ubuntu security linux-on-azure
Hacking-Versuche auf Linux-VM in Azure

Ich habe eine sehr seltsame Situation. Ich habe gerade eine neue VM erstellt, sie funktioniert erst seit 30 Minuten und ich sehe eine seltsame Aktivität in auth.log:

Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11:  [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root

Ich habe gerade erst ein Update/Upgrade an der VM gemacht und einen neuen admBenutzer angelegt. Wie kann ich so schnell angegriffen werden?

Antwort1

Das kommt häufig vor. „Hacker“ verwenden eine Liste von Azure-IPs und versuchen, sich mit Brute-Force-SSH Zugriff auf Ihren Server zu verschaffen. Wie das obige Protokoll zeigt, gab es nur Fehler. Ihre IP wurde höchstwahrscheinlich von einer anderen Azure-VM nicht zugewiesen.

Fast jeder Server, den ich online eingerichtet habe, hat dieses Problem. Ich empfehle Ihnen zwei Maßnahmen.

  1. Ändern Sie Ihren SSH-Port in einen anderen, dadurch wird die Wahrscheinlichkeit eines Angriffs erheblich verringert.

  2. InstallierenFehler2Ban. Dadurch können Sie IPs für einen festgelegten Zeitraum oder dauerhaft sperren, wenn x Authentifizierungen durchgeführt wurden.

Auch die Verwendung von Key Only SSH verbessert die Sicherheit noch mehr.

Antwort2

Sie wurden noch nicht gehackt, aber jemand versucht, einzudringen.

Sie sollten implementierenFail2Banum IPs nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche vorübergehend zu blockieren.

An Ihrer Situation gibt es nichts, was es sinnvoll erscheinen lässt, „ein neuer VM- oder ADM-Benutzer“ zu sein. Der Angriff richtet sich gegen das rootKonto, und die VM hat eine IP-Adresse, die existierte, bevor sie der VM zugewiesen wurde. Jemand hat einen Port-Scan durchgeführt, festgestellt, dass der Port aktiv war, und dann einen verteilten Brute-Force-Angriff versucht. Es ist wahrscheinlich, dass der frühere Empfänger der IP-Adresse auch SSH-Dienste hatte, sodass Sie möglicherweise einem Angriff ausgesetzt sind, der bereits gegen einen früheren Empfänger im Gange war. Wir können das nicht sagen.

Antwort3

Dies ist eine recht häufige Situation und wird leider ständig passieren. Bei diesen Versuchen handelt es sich lediglich um Bots, die nach dem Zufallsprinzip ganze IP-Klassen testen, und Ihre ist erst 30 Minuten nach der Bereitstellung Ihrer VM aufgetaucht. Ich schlage vor, fail2ban zu installieren, wenn es Sie stört.

Antwort4

Wenn Sie sich legitimerweise bei Ihrem Remote-Host anmelden, sollten Sie SSH-Schlüssel verwenden, um die Verwendung eines Passworts zu vermeiden. Wenn dies der Fall ist, deaktivieren Sie die Zulassung von Passwörtern auf diesem Remote-Host. Bearbeiten Sie auf Ihrem Remote-Host

vi /etc/ssh/sshd_config

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no

und starten Sie dann, während Sie sich auf dem Remote-Host befinden, dessen SSH-Daemon durch die Ausgabe von:

sudo service sshd restart

(und nein, es wird Ihre SSH-Anmeldesitzung nicht beenden, sofern Sie nicht mit einem Passwort angemeldet sind)

Diese Änderung verhindert präventiv alle Anmeldeversuche, die ein Passwort verwenden, und verhindert somit die Meldungen

Failed password for root from 182.100.67.173 port 41144 ssh2

verwandte Informationen