Minha instância EC2 relatou atividade suspeita e recebi este e-mail:
foi implicado em atividades que se assemelham à varredura de hosts remotos na Internet em busca de vulnerabilidades de segurança. Atividades desta natureza são proibidas na Política de Uso Aceitável da AWS (https://aws.amazon.com/aup/). Incluímos o relatório original abaixo para sua análise.
Tome medidas para interromper a atividade denunciada e responda diretamente a este e-mail com detalhes das ações corretivas que você tomou. Se você não considera a atividade descrita nesses relatórios abusiva, responda a este e-mail com detalhes do seu caso de uso.
Se você não tem conhecimento dessa atividade, é possível que seu ambiente tenha sido comprometido por um invasor externo ou que uma vulnerabilidade esteja permitindo que sua máquina seja usada de uma forma não pretendida.
Não sei como verificar o que aconteceu. Alterei minha senha root, mas ainda recebo o mesmo relatório de atividades.
abaixo está o registro:
Full logs:
(time in UTC)=2020-12-08T23:59:13 (attacker's IP)=myip (IP being scanned)=91^208^184^50 (TCP port being scanned)=523
(time in UTC)=2020-12-08T23:59:21 (attacker's IP)=myip (IP being scanned)=78^128^99^30 (TCP port being scanned)=2025
(time in UTC)=2020-12-08T23:59:28 (attacker's IP)=myip (IP being scanned)=140^238^172^100 (TCP port being scanned)=841
(time in UTC)=2020-12-08T23:59:42 (attacker's IP)=myip (IP being scanned)=219^91^85^19 (TCP port being scanned)=10699
(time in UTC)=2020-12-08T23:59:54 (attacker's IP)=myip (IP being scanned)=78^128^99^30 (TCP port being scanned)=1298
(time in UTC)=2020-12-09T23:57:40 (attacker's IP)=myip (IP being scanned)=219^91^85^19 (TCP port being scanned)=313
(time in UTC)=2020-12-09T23:57:43 (attacker's IP)=myip (IP being scanned)=219^91^62^21 (TCP port being scanned)=21735
(time in UTC)=2020-12-09T23:57:43 (attacker's IP)=myip (IP being scanned)=91^203^192^19 (TCP port being scanned)=984
(time in UTC)=2020-12-09T23:57:52 (attacker's IP)=myip (IP being scanned)=185^178^44^132 (TCP port being scanned)=18263
(time in UTC)=2020-12-09T23:57:53 (attacker's IP)=myip (IP being scanned)=140^238^172^100 (TCP port being scanned)=1389
outro registro:
Logs:
------------------------------------------------------------------------
Dec 9 01:01:55 kmh-wmh-003-nbg03 sshd[698]: Invalid user test from myip port 44682
Dec 9 01:01:55 kmh-wmh-003-nbg03 sshd[698]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myip
Dec 9 01:01:57 kmh-wmh-003-nbg03 sshd[698]: Failed password for invalid user test from myip port 44682 ssh2
Dec 9 01:01:57 kmh-wmh-003-nbg03 sshd[698]: Received disconnect from myip port 44682:11: Bye Bye [preauth]
Dec 9 01:01:57 kmh-wmh-003-nbg03 sshd[698]: Disconnected from myip port 44682 [preauth]
Dec 9 01:18:16 kmh-wmh-003-nbg03 sshd[2480]: Invalid user pppuser from myip port 41660
Dec 9 01:18:16 kmh-wmh-003-nbg03 sshd[2480]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myip
Dec 9 01:18:17 kmh-wmh-003-nbg03 sshd[2480]: Failed password for invalid user pppuser from myip port 41660 ssh2
Dec 9 01:18:17 kmh-wmh-003-nbg03 sshd[2480]: Received disconnect from myip port 41660:11: Bye Bye [preauth]
Dec 9 01:18:17 kmh-wmh-003-nbg03 sshd[2480]: Disconnected from myip port 41660 [preauth]
Dec 9 01:21:25 kmh-wmh-003-nbg03 sshd[2792]: Invalid user master from myip port 38852
Dec 9 01:21:25 kmh-wmh-003-nbg03 sshd[2792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myip
Como nunca me conecto ao ssh usando minha instância, só quero bloquear todo o tráfego SSH de saída de qualquer usuário e qualquer aplicativo/processo. Como fazer isso?
Talvez eu possa bloquear todo o tráfego de saída para a porta 22 usando iptables, mas nem todo o ssh usando a porta 22, certo? alguma outra maneira eficaz?
Responder1
Não é tão fácil. Se o seu servidor for comprometido, você deverá investigá-lo.
Primeiro, bloqueie todo o tráfego de entrada, mas seu serviço (exemplo, portas 80 e 443) bloqueie o acesso ao ssh de qualquer fonte, exceto a sua.
Em segundo lugar, sugiro começar a instalar e executar softwares como clamav, chkrootkit e rkhunter. Esse software pode fazer a varredura em sua máquina e identificar várias explorações conhecidas.
Terceiro, dê uma olhada em todos os processos em execução, logs e similares
Quarto, aplique algumas técnicas de endurecimento à sua máquina
Responder2
Verifique seus "Grupos de segurança" se você tiver uma regra de entrada para a porta 22/serviço SSH, remova-a.
Você nunca faz ssh, então quais serviços você está executando?