나는 매우 이상한 상황에 처해 있습니다. 방금 새 VM을 만들었고 작동한 지 30분밖에 안 됐는데 다음에서 이상한 활동이 보입니다 auth.log.
Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11: [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
VM을 업데이트/업그레이드하고 새 adm사용자를 추가했습니다. 어떻게 그렇게 빨리 공격을 받을 수 있나요?
답변1
이것은 흔한 일입니다. '해커'는 Azure IP 목록을 사용하고 무차별 SSH 공격을 시도하여 서버에 액세스합니다. 위의 로그에서 볼 수 있듯이 실패만 발생했습니다. 귀하의 IP는 다른 Azure VM에서 할당 취소되었을 가능성이 높습니다.
온라인으로 설정한 거의 모든 서버에 이 문제가 있습니다. 제가 추천하는 두 가지 조치가 있습니다.
SSH 포트를 다른 포트로 변경하세요, 이렇게 하면 공격 가능성이 크게 줄어듭니다.
설치하다실패2금지. 이렇게 하면 일정 시간 동안 또는 x번의 인증이 이루어지면 영구적으로 IP를 차단할 수 있습니다.
또한 키만 사용하는 SSH를 사용하면 보안이 더욱 향상됩니다.
답변2
아직 해킹당하지 않았지만 누군가 해킹을 시도하고 있습니다.
당신은 구현해야Fail2Ban설정된 횟수만큼 로그인 시도가 실패하면 일시적으로 IP를 차단합니다.
"새 VM 또는 adm 사용자"가 되는 것을 의미 있게 만드는 상황은 없습니다. 공격은 root계정을 대상으로 하며 VM은 VM에 할당되기 전에 존재했던 IP 주소에 있습니다. 누군가 포트 스캔을 수행하여 포트가 작동 중임을 확인한 다음 분산 무차별 대입 공격을 시도했습니다. IP 주소의 이전 할당자도 SSH 서비스를 갖고 있었을 가능성이 높으므로 이전 할당자를 대상으로 이미 진행 중인 공격을 경험하고 있을 수 있습니다. 우리가 알 수 있는 방법이 없어요.
답변3
이는 매우 일반적인 상황이며 불행히도 지속적으로 발생합니다. 이러한 시도는 전체 IP 클래스를 무작위로 조사하는 봇일 뿐이며 VM을 배포한 지 30분 후에 나타났습니다. 귀찮다면 Fail2ban을 설치하는 것이 좋습니다.
답변4
원격 호스트에 합법적으로 로그인할 때 비밀번호 사용을 피하기 위해 SSH 키를 사용해야 합니다. 이것이 사실이면 해당 원격 호스트에서 비밀번호 허용을 비활성화합니다. 원격 호스트에서 편집합니다.
vi /etc/ssh/sshd_config
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no
그런 다음 원격 호스트에 있는 동안 다음을 실행하여 SSH 데몬을 반송합니다.
sudo service sshd restart
(아니요, 비밀번호를 사용하여 로그인하지 않으면 SSH 로그인 세션이 종료되지 않습니다.)
이 변경으로 인해 비밀번호를 사용하는 모든 로그인 시도가 사전에 차단되므로 해당 메시지가 더 이상 표시되지 않습니다.
Failed password for root from 182.100.67.173 port 41144 ssh2