tentativa de ip suspeito para conectar o servidor

tag-icon tag-icon networking security ufw
tentativa de ip suspeito para conectar o servidor

Estou recebendo a mensagem suspicious ip [x.x.x.x] attempt to connect server Que ações devo tomar em relação a esse problema? O servidor afetado é o servidor Ubuntu 14.04 e possui ufwum IP público.

registro ufw:

Nov  3 12:12:55  kernel: [358619.800870] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=37.139.191.161 DST=10.0.0.12 LEN=44 TOS=0x00 PREC=0x00 TTL=44 ID=8329 PROTO=TCP SPT=43730 DPT=23 WINDOW=23100 RES=0x00 SYN URGP=0
Nov  3 12:14:08  kernel: [358692.822316] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=122.114.182.64 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=233 ID=48132 PROTO=TCP SPT=54910 DPT=1433 WINDOW=1024 RES=0x00 SYN URGP=0
Nov  3 12:14:11  kernel: [358696.027769] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=89.248.172.16 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=113 ID=52590 PROTO=TCP SPT=46640 DPT=8009 WINDOW=62657 RES=0x00 SYN URGP=0
Nov  3 12:14:43  kernel: [358727.590448] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=123.249.3.172 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=107 ID=256 PROTO=TCP SPT=37365 DPT=8080 WINDOW=16384 RES=0x00 SYN URGP=0
Nov  3 12:14:45  kernel: [358729.683181] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=218.29.142.44 DST=10.0.0.12 LEN=44 TOS=0x00 PREC=0x00 TTL=234 ID=44905 PROTO=TCP SPT=50889 DPT=1433 WINDOW=1024 RES=0x00 SYN URGP=0
Nov  3 12:16:01  kernel: [358806.142162] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=176.109.226.160 DST=10.0.0.12 LEN=44 TOS=0x00 PREC=0x00 TTL=47 ID=8329 PROTO=TCP SPT=43730 DPT=23 WINDOW=23100 RES=0x00 SYN URGP=0
Nov  3 12:16:24  kernel: [358829.214991] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=212.142.159.191 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=35874 PROTO=TCP SPT=13461 DPT=23 WINDOW=9861 RES=0x00 SYN URGP=0
Nov  3 12:17:16  kernel: [358881.046988] [UFW BLOCK] IN=eth0 OUT= MAC=08:24:14:33:18:01:08:00 SRC=45.55.29.228 DST=10.0.0.12 LEN=40 TOS=0x00 PREC=0x00 TTL=238 ID=54321 PROTO=TCP SPT=57539 DPT=3306 WINDOW=65535 RES=0x00 SYN URGP=0

auth.log

/var/log$ tailf auth.log

Nov  3 12:47:55  sshd[10102]: Failed password for root from 58.218.198.146 port 50077 ssh2
Nov  3 12:48:00  sshd[10102]: message repeated 2 times: [ Failed password for root from 58.218.198.146 port 50077 ssh2]
Nov  3 12:48:01  sshd[10102]: Received disconnect from 58.218.198.146: 11:  [preauth]
Nov  3 12:48:01  sshd[10102]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root
Nov  3 12:48:17  sshd[10104]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root
Nov  3 12:48:19  sshd[10104]: Failed password for root from 58.218.198.146 port 27919 ssh2
Nov  3 12:48:24  sshd[10104]: message repeated 2 times: [ Failed password for root from 58.218.198.146 port 27919 ssh2]
Nov  3 12:48:24  sshd[10104]: Received disconnect from 58.218.198.146: 11:  [preauth]
Nov  3 12:48:24  sshd[10104]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root
Nov  3 12:48:37  sshd[10108]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root
Nov  3 12:48:39  sshd[10108]: Failed password for root from 58.218.198.146 port 43229 ssh2
Nov  3 12:48:43  sshd[10108]: message repeated 2 times: [ Failed password for root from 58.218.198.146 port 43229 ssh2]
Nov  3 12:48:43  sshd[10108]: Received disconnect from 58.218.198.146: 11:  [preauth]
Nov  3 12:48:43  sshd[10108]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.146  user=root

Responder1

Estas são tentativas automatizadas de invadir seu servidor ssh e são muito comuns.

IMO, as ações mais importantes a serem tomadas são:

  1. Permitir login ssh apenas por meio de chaves, desabilitar senhas.

  2. Não permita que o root faça login.

Você não precisa instalar nenhum serviço adicional, você pode resolver esse problema com o iptables.

Primeiro instale o iptables-persistent

sudo apt-get install iptables-persistent

então

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource

sudo iptables -A INPUT -m recent --update --rchedk --seconds 600 --hitcount 8 --rttl --name SSH --rsource -j --reject-with icmp-host-prohibited 

sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

"--hit count" é o número de novas conexões. Tenha em mente que cada nova conexão oferece múltiplas oportunidades para inserir uma senha. Se você usar scp, use uma contagem de acessos maior, pois cada arquivo será uma nova sessão ssh.

"--seconds" Quanto tempo um endereço IP ficará na lista negra. 10 minutos geralmente são suficientes para dissuadir a maioria dos "script kiddies".

Para informações/sugestões adicionais consultehttp://bodhizazen.com/Tutorials/SSH_security

informação relacionada