Intentos de piratería de máquinas virtuales Linux en Azure

tag-icon tag-icon linux ubuntu security linux-on-azure
Intentos de piratería de máquinas virtuales Linux en Azure

Tengo una situación muy rara. Acabo de crear una nueva máquina virtual, ha estado funcionando solo durante 30 minutos y veo una actividad extraña en auth.log:

Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11:  [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root

Solo realicé una actualización/actualización de la VM y agregué un nuevo admusuario. ¿Cómo puedo ser atacado tan rápido?

Respuesta1

Esto es algo común. Los 'hackers' utilizarán una lista de IP azules e intentarán usar SSH por fuerza bruta para obtener acceso a su servidor. Como muestra el registro anterior, solo se produjeron fallas. Lo más probable es que su IP no haya sido asignada a otra máquina virtual de Azure.

Casi todos los servidores que configuré en línea tienen este problema. Hay dos acciones que te recomiendo hacer.

  1. Cambie su puerto SSH a otra cosa, esto reduce en gran medida tus posibilidades de ataque.

  2. Instalarfalla2ban. Esto le permitirá prohibir IP por un período de tiempo determinado o permanentemente cuando se realice x número de autenticaciones.

Además, el uso de SSH solo con clave mejora aún más la seguridad.

Respuesta2

Aún no has sido hackeado, pero alguien está intentando entrar.

deberías implementarFail2Banpara bloquear temporalmente las IP después de un número determinado de intentos fallidos de inicio de sesión.

No hay nada en su situación que haga que sea significativo ser "un nuevo usuario de VM o administrador". El ataque es contra la rootcuenta y la VM está en una dirección IP que existía antes de que fuera asignada a la VM. Alguien realizó un escaneo de puertos, notó que el puerto estaba activo y luego intentó un ataque distribuido de fuerza bruta. Es probable que el antiguo cesionario de la dirección IP también tuviera servicios SSH, por lo que es posible que esté experimentando un ataque que ya estaba en marcha contra un cesionario anterior. No hay manera de que podamos saberlo.

Respuesta3

Esta es una situación bastante común y lamentablemente sucederá constantemente. Estos intentos son solo robots que exploran clases enteras de IP al azar y el suyo apareció 30 minutos después de implementar su VM. Sugiero instalar fail2ban si te molesta.

Respuesta4

Cuando inicia sesión legítimamente en su host remoto, debe usar claves ssh para evitar el uso de una contraseña... una vez que eso sea cierto, deshabilite el permiso de contraseñas en ese host remoto... en su host remoto editar

vi /etc/ssh/sshd_config

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no

luego, mientras está en el host remoto, rebota su demonio ssh emitiendo:

sudo service sshd restart

(y no, no cancelará su sesión de inicio de sesión ssh a menos que haya iniciado sesión con una contraseña)

Este cambio frustrará de forma preventiva todos los intentos de inicio de sesión que utilicen una contraseña y, por lo tanto, esos mensajes se detendrán.

Failed password for root from 182.100.67.173 port 41144 ssh2

información relacionada