Como parar o ataque de força bruta de saída

Question

Como especialista em segurança de TI, a resposta adequada a qualquer risco de segurança de uma máquina comprometida é:Desative o(s) sistema(s) afetado(s) (desligue-os totalmente ou desconecte-os da rede imediatamente e isole-os se você pretende dissecar o sistema e a violação) e detoná-lo da órbita para limpá-lo. Limpe-o, restaure coisas importantes, desde backups limpos até uma nova reinstalação do sistema operacional limpo.

Feito isso, você precisa ter certeza de que todos os seus aplicativos neste sistema precisam ser protegidos e bloqueados. É provável que, se você estiver executando um aplicativo da Web como o Wordpress ou algo semelhante, precise mantê-lo atualizado regularmente o tempo todo. Adicionar uma fail2bansolução ao seu sistema e habilitá-la para seus vários aplicativos ajudará para que, quando as coisas forem acionadas, elas sejam bloqueadas no firewall por um período de tempo devido a tentativas de ataque contínuas.

(Proteger adequadamente o seu sistema e os aplicativos é uma coisa muito AMPLA que é muito grande para este único post, e é sempre uma análise caso a caso/base de análise de risco/custo-recompensa, então não podemos realmente dar a você a melhor maneira para endurecer tudo adequadamente.)

Se vocêrealmentedeseja dissecar o que está acontecendo, instale net-toolsna máquina afetada e desconecte-a da rede.

sudo apt install net-tools

Feito isso, execute sudo netstat -atupene procure por conexões de saída para a porta 22 do seu sistema e veja qual processo está acionando as conexões de saída da porta 22. Fique de olho nisso também e execute-o várias vezes se precisar ter certeza de que ele aparece, porque sem rede ele provavelmente tentará e falhará instantaneamente, portanto, pode ser necessário executar isso algumas vezes.

No entanto,é melhor você excluir tudo no sistema e reconstruí-lo do zeroe mantenha backups melhores de suas informações que NÃO estarão infestadas de malware.

Além disso, a menos que você saiba o que está fazendo, você não deve hospedar um servidor, etc. em sua própria rede por causa desses tipos de problemas - seus próprios sistemas podem ser violados se pelo menos um sistema em sua rede doméstica for acionado.

Para colocar minha última parte em perspectiva:

Mesmo com minha experiência, todos os servidores da minha rede que executam a Internet são protegidos contra outros servidores para não alcançá-los, e minha rede sendo construída como uma rede do tipo empresarial completa com firewall gerenciado, switches gerenciados, etc. os servidores enfrentados estão isolados nas respectivas DMZs e não podem alcançar o resto da minha rede onde dados mais críticos estão presentes. O isolamento e o fortalecimento da rede dessa magnitude exigem muito mais do que você obterá nos níveis de equipamento 'residencial' e 'consumidor' que você pode obter; requer muito tempo, esforço e conhecimento extras para realmente isolar a Internet. sistemas para evitar violações maiores, bem como para obter registro de fluxo de rede para diferentes comportamentos de rede, bem como filtrar listas de informações ativas para bloquear os males conhecidos. Não é para os fracos de coração e também requer MUITO esforço para mantê-lo operacional.

Dois dos meus servidores que executo em minhas DMZs para clientes foram acionados recentemente devido a instâncias do Wordpress corrigidas incorretamente. FELIZMENTE, eu mantenho backups para eles, então destruímos as instâncias violadas, restauramos a partir de backups limpos e, então, passei prontamente seis horas em cada máquina, corrigindo-as e fortalecendo-as. Uma única instância do Wordpress sem patch em cada um desses servidores levou à violação desses servidores e à tentativa de distribuição de malware, que meu IDS/IPS detectou - novamente, esta é uma configuração de rede de nível empresarial, então tenho tempo, infraestrutura e dinheiro para colocar nele todas as proteções. Você não terá isso em um servidor comum ou em uma configuração de rede residencial.

Answer 1

Como especialista em segurança de TI, a resposta adequada a qualquer risco de segurança de uma máquina comprometida é:Desative o(s) sistema(s) afetado(s) (desligue-os totalmente ou desconecte-os da rede imediatamente e isole-os se você pretende dissecar o sistema e a violação) e detoná-lo da órbita para limpá-lo. Limpe-o, restaure coisas importantes, desde backups limpos até uma nova reinstalação do sistema operacional limpo.

Feito isso, você precisa ter certeza de que todos os seus aplicativos neste sistema precisam ser protegidos e bloqueados. É provável que, se você estiver executando um aplicativo da Web como o Wordpress ou algo semelhante, precise mantê-lo atualizado regularmente o tempo todo. Adicionar uma fail2bansolução ao seu sistema e habilitá-la para seus vários aplicativos ajudará para que, quando as coisas forem acionadas, elas sejam bloqueadas no firewall por um período de tempo devido a tentativas de ataque contínuas.

(Proteger adequadamente o seu sistema e os aplicativos é uma coisa muito AMPLA que é muito grande para este único post, e é sempre uma análise caso a caso/base de análise de risco/custo-recompensa, então não podemos realmente dar a você a melhor maneira para endurecer tudo adequadamente.)

Se vocêrealmentedeseja dissecar o que está acontecendo, instale net-toolsna máquina afetada e desconecte-a da rede.

sudo apt install net-tools

Feito isso, execute sudo netstat -atupene procure por conexões de saída para a porta 22 do seu sistema e veja qual processo está acionando as conexões de saída da porta 22. Fique de olho nisso também e execute-o várias vezes se precisar ter certeza de que ele aparece, porque sem rede ele provavelmente tentará e falhará instantaneamente, portanto, pode ser necessário executar isso algumas vezes.

No entanto,é melhor você excluir tudo no sistema e reconstruí-lo do zeroe mantenha backups melhores de suas informações que NÃO estarão infestadas de malware.

Além disso, a menos que você saiba o que está fazendo, você não deve hospedar um servidor, etc. em sua própria rede por causa desses tipos de problemas - seus próprios sistemas podem ser violados se pelo menos um sistema em sua rede doméstica for acionado.

Para colocar minha última parte em perspectiva:

Mesmo com minha experiência, todos os servidores da minha rede que executam a Internet são protegidos contra outros servidores para não alcançá-los, e minha rede sendo construída como uma rede do tipo empresarial completa com firewall gerenciado, switches gerenciados, etc. os servidores enfrentados estão isolados nas respectivas DMZs e não podem alcançar o resto da minha rede onde dados mais críticos estão presentes. O isolamento e o fortalecimento da rede dessa magnitude exigem muito mais do que você obterá nos níveis de equipamento 'residencial' e 'consumidor' que você pode obter; requer muito tempo, esforço e conhecimento extras para realmente isolar a Internet. sistemas para evitar violações maiores, bem como para obter registro de fluxo de rede para diferentes comportamentos de rede, bem como filtrar listas de informações ativas para bloquear os males conhecidos. Não é para os fracos de coração e também requer MUITO esforço para mantê-lo operacional.

Dois dos meus servidores que executo em minhas DMZs para clientes foram acionados recentemente devido a instâncias do Wordpress corrigidas incorretamente. FELIZMENTE, eu mantenho backups para eles, então destruímos as instâncias violadas, restauramos a partir de backups limpos e, então, passei prontamente seis horas em cada máquina, corrigindo-as e fortalecendo-as. Uma única instância do Wordpress sem patch em cada um desses servidores levou à violação desses servidores e à tentativa de distribuição de malware, que meu IDS/IPS detectou - novamente, esta é uma configuração de rede de nível empresarial, então tenho tempo, infraestrutura e dinheiro para colocar nele todas as proteções. Você não terá isso em um servidor comum ou em uma configuração de rede residencial.

Como parar o ataque de força bruta de saída

Responder1

informação relacionada