Estou com uma situação muito estranha. Acabei de criar uma nova VM, ela está funcionando há apenas 30 minutos e estou vendo uma atividade estranha em auth.log
:
Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11: [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Fiz apenas uma atualização/upgrade na VM e adicionei um novo adm
usuário. Como posso ser atacado tão rápido?
Responder1
Isso é uma coisa comum. 'Hackers' usarão uma lista de IPs azuis e tentarão SSH de força bruta para obter acesso ao seu servidor. Como mostra o log acima, apenas falhas foram cometidas. Provavelmente, seu IP não foi atribuído a outra VM do Azure.
Quase todos os servidores que configurei online apresentam esse problema. Há duas ações que recomendo que você faça.
Mude sua porta SSH para outra, isso reduz bastante suas chances de ataque.
Instalarfail2ban. Isso permitirá que você proíba IPs por um determinado período de tempo ou permanentemente quando um número x de autenticações for feito.
Além disso, usar apenas SSH de chave melhora ainda mais a segurança.
Responder2
Você ainda não foi hackeado, mas alguém está tentando entrar.
você deve implementarFail2Banpara bloquear temporariamente IPs após um determinado número de tentativas de login malsucedidas.
Não há nada na sua situação que torne significativo ser "um novo usuário VM ou administrador". O ataque é contra a root
conta e a VM está em um endereço IP que existia antes de ser atribuída à VM. Alguém realizou uma verificação de porta, percebeu que a porta estava ativa e então tentou um ataque distribuído de força bruta. É provável que o antigo cessionário do endereço IP também tivesse serviços SSH, então você pode estar enfrentando um ataque que já estava em andamento contra um cessionário anterior. não há como sabermos.
Responder3
Esta é uma situação bastante comum e infelizmente acontecerá constantemente. Essas tentativas são apenas bots que sondam classes inteiras de IPs aleatoriamente e a sua surgiu 30 minutos depois de você implantar sua VM. Sugiro instalar o fail2ban se isso te incomoda.
Responder4
Quando você faz login legitimamente em seu host remoto, você deve usar chaves ssh para evitar o uso de uma senha ... uma vez que isso seja verdade, desative a permissão de senhas nesse host remoto ... na edição do seu host remoto
vi /etc/ssh/sshd_config
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no
então, enquanto estiver no host remoto, devolva seu daemon ssh emitindo:
sudo service sshd restart
(e não, isso não interromperá sua sessão de login ssh, a menos que você esteja logado usando uma senha)
Esta alteração impedirá preventivamente todas as tentativas de login que usam uma senha e, portanto, essas mensagens serão interrompidas
Failed password for root from 182.100.67.173 port 41144 ssh2