Cómo detener un ataque de fuerza bruta saliente

Question

Como experto en seguridad informática, la respuesta adecuada a cualquier riesgo de seguridad de una máquina comprometida es:Desactive los sistemas afectados (apáguelos por completo o desconéctelos de la red inmediatamente y aíslelos si tiene la intención de diseccionar el sistema y la brecha) y bombardee desde la órbita para limpiarlos. Limpialo, restaura cosas importantes, desde copias de seguridad limpias hasta una nueva reinstalación del sistema operativo limpio.

Una vez hecho esto, debe asegurarse de que todas las aplicaciones que tenga en este sistema estén protegidas y bloqueadas. Es probable que, si está ejecutando una aplicación web como Wordpress o similar, necesite mantenerla actualizada periódicamente todo el tiempo. Agregar una fail2bansolución a su sistema y habilitarla para sus diversas aplicaciones ayudará a que, cuando las cosas se activen, se bloqueen en el firewall durante un período de tiempo debido a intentos de ataque continuos.

(Reforzar adecuadamente su sistema y las aplicaciones es algo muy AMPLIO que es demasiado grande para esta única publicación, y siempre es un análisis caso por caso/base de análisis de riesgo/recompensa de costo, por lo que realmente no podemos brindarle la mejor manera para endurecerlo todo adecuadamente.)

Si usteden realidadSi desea analizar lo que está pasando, instálelo net-toolsen la máquina afectada y luego desconéctelo de la red.

sudo apt install net-tools

Una vez hecho esto, ejecute sudo netstat -atupeny busque conexiones salientes al puerto 22 de su sistema y vea qué proceso está activando las conexiones salientes del puerto 22. Esté atento a eso también y ejecútelo muchas veces si necesita asegurarse de que aparezca, porque sin red probablemente intentará y fallará instantáneamente, por lo que es posible que sea necesario ejecutarlo varias veces.

Sin embargo,es mejor que elimines todo lo que hay en el sistema y lo reconstruyas desde cero.y mantenga mejores copias de seguridad de su información que NO estarán infestadas de malware.

Además, a menos que sepa lo que está haciendo, no debería alojar un servidor, etc. en su propia red debido a este tipo de problemas: sus propios sistemas pueden verse vulnerados si incluso un sistema de su red doméstica falla.

Para poner mi último fragmento en perspectiva:

Incluso con mi experiencia, todos los servidores de mi red que ejecutan acceso a Internet están protegidos contra el acceso de otros servidores a ellos, y el hecho de que mi red esté construida como una red de tipo empresarial completa con firewall administrado, conmutadores administrados, etc. significa que mi Internet Los servidores enfrentados están aislados en las respectivas DMZ y no pueden llegar al resto de mi red donde hay datos más críticos. El aislamiento y fortalecimiento de la red de esta magnitud requiere mucho más de lo que se puede obtener en los niveles de equipo "residencial" y "consumidor"; requiere mucho tiempo, esfuerzo y conocimiento adicionales para aislar realmente la conexión a Internet. sistemas para evitar infracciones mayores, así como para obtener registros de flujo de red para diferentes comportamientos de la red, así como filtrado de listas de inteligencia activa para bloquear los males conocidos. No es para personas débiles de corazón y requiere MUCHO esfuerzo para mantenerlo operativo también.

Dos de mis servidores que ejecuto en mis DMZ para clientes fallaron recientemente debido a instancias de Wordpress parcheadas incorrectamente. AFORTUNADAMENTE mantengo copias de seguridad de ellos, así que atacamos las instancias violadas, las restauramos a partir de copias de seguridad limpias y luego pasé seis horas en cada máquina parcheándolas y reforzándolas. Una sola instancia de Wordpress sin parches en cada uno de esos servidores provocó que esos servidores fueran vulnerados e intentaran distribuir malware, que mi IDS/IPS detectó; nuevamente, esta es una configuración de red de nivel empresarial, por lo que tengo el tiempo, la infraestructura y el dinero para invertir. en él todas las protecciones. No tendrá esto en su servidor promedio o configuración de red residencial.

Answer 1

Como experto en seguridad informática, la respuesta adecuada a cualquier riesgo de seguridad de una máquina comprometida es:Desactive los sistemas afectados (apáguelos por completo o desconéctelos de la red inmediatamente y aíslelos si tiene la intención de diseccionar el sistema y la brecha) y bombardee desde la órbita para limpiarlos. Limpialo, restaura cosas importantes, desde copias de seguridad limpias hasta una nueva reinstalación del sistema operativo limpio.

Una vez hecho esto, debe asegurarse de que todas las aplicaciones que tenga en este sistema estén protegidas y bloqueadas. Es probable que, si está ejecutando una aplicación web como Wordpress o similar, necesite mantenerla actualizada periódicamente todo el tiempo. Agregar una fail2bansolución a su sistema y habilitarla para sus diversas aplicaciones ayudará a que, cuando las cosas se activen, se bloqueen en el firewall durante un período de tiempo debido a intentos de ataque continuos.

(Reforzar adecuadamente su sistema y las aplicaciones es algo muy AMPLIO que es demasiado grande para esta única publicación, y siempre es un análisis caso por caso/base de análisis de riesgo/recompensa de costo, por lo que realmente no podemos brindarle la mejor manera para endurecerlo todo adecuadamente.)

Si usteden realidadSi desea analizar lo que está pasando, instálelo net-toolsen la máquina afectada y luego desconéctelo de la red.

sudo apt install net-tools

Una vez hecho esto, ejecute sudo netstat -atupeny busque conexiones salientes al puerto 22 de su sistema y vea qué proceso está activando las conexiones salientes del puerto 22. Esté atento a eso también y ejecútelo muchas veces si necesita asegurarse de que aparezca, porque sin red probablemente intentará y fallará instantáneamente, por lo que es posible que sea necesario ejecutarlo varias veces.

Sin embargo,es mejor que elimines todo lo que hay en el sistema y lo reconstruyas desde cero.y mantenga mejores copias de seguridad de su información que NO estarán infestadas de malware.

Además, a menos que sepa lo que está haciendo, no debería alojar un servidor, etc. en su propia red debido a este tipo de problemas: sus propios sistemas pueden verse vulnerados si incluso un sistema de su red doméstica falla.

Para poner mi último fragmento en perspectiva:

Incluso con mi experiencia, todos los servidores de mi red que ejecutan acceso a Internet están protegidos contra el acceso de otros servidores a ellos, y el hecho de que mi red esté construida como una red de tipo empresarial completa con firewall administrado, conmutadores administrados, etc. significa que mi Internet Los servidores enfrentados están aislados en las respectivas DMZ y no pueden llegar al resto de mi red donde hay datos más críticos. El aislamiento y fortalecimiento de la red de esta magnitud requiere mucho más de lo que se puede obtener en los niveles de equipo "residencial" y "consumidor"; requiere mucho tiempo, esfuerzo y conocimiento adicionales para aislar realmente la conexión a Internet. sistemas para evitar infracciones mayores, así como para obtener registros de flujo de red para diferentes comportamientos de la red, así como filtrado de listas de inteligencia activa para bloquear los males conocidos. No es para personas débiles de corazón y requiere MUCHO esfuerzo para mantenerlo operativo también.

Dos de mis servidores que ejecuto en mis DMZ para clientes fallaron recientemente debido a instancias de Wordpress parcheadas incorrectamente. AFORTUNADAMENTE mantengo copias de seguridad de ellos, así que atacamos las instancias violadas, las restauramos a partir de copias de seguridad limpias y luego pasé seis horas en cada máquina parcheándolas y reforzándolas. Una sola instancia de Wordpress sin parches en cada uno de esos servidores provocó que esos servidores fueran vulnerados e intentaran distribuir malware, que mi IDS/IPS detectó; nuevamente, esta es una configuración de red de nivel empresarial, por lo que tengo el tiempo, la infraestructura y el dinero para invertir. en él todas las protecciones. No tendrá esto en su servidor promedio o configuración de red residencial.

Cómo detener un ataque de fuerza bruta saliente

Respuesta1

información relacionada