Continuo recebendo tentativas de login no meu servidor até ele cair

Continuo recebendo tentativas de login no meu servidor até ele cair

Tenho um servidor Centos7 e depois de anos funcionando corretamente, ontem ele começou a ficar inacessível (Os apps do servidor que tenho lá não eram recarregáveis, a conexão SSH deu timeout, etc mas o ping funcionou).

Ontem ficou inacessível e a única solução alternativa é interrompê-lo e iniciá-lo novamente. Mas depois de uma hora ou menos, o mesmo acontece.

Depois de alguma pesquisa, pode ser que seja por causa de um ataque de inundação SYN.

Verificando os logs de conexão vejo que existem diversas tentativas de login, por exemplo:

Jan 26 08:18:08 vsi-prod sshd[2691]: Invalid user aadil from 190.153.249.99 port 59598
Jan 26 08:18:08 vsi-prod sshd[2691]: input_userauth_request: invalid user aadil [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Received disconnect from 190.153.249.99 port 59598:11: Bye Bye [preauth]
Jan 26 08:18:08 vsi-prod sshd[2691]: Disconnected from 190.153.249.99 port 59598 [preauth]
Jan 26 08:18:12 vsi-prod sshd[2695]: Invalid user db2fenc2 from 143.110.241.56 port 54456
Jan 26 08:18:12 vsi-prod sshd[2695]: input_userauth_request: invalid user db2fenc2 [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Received disconnect from 143.110.241.56 port 54456:11: Bye Bye [preauth]
Jan 26 08:18:13 vsi-prod sshd[2695]: Disconnected from 143.110.241.56 port 54456 [preauth]

Desativei a porta 22, mas o problema continua acontecendo. Além disso, as solicitações são para a porta que deveria ser fechada (verifiquei duas vezes).

Tentei gerar um limitador de taxa, iptablesmas também não funcionou

sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 5/minute --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name ssh-limit -j ACCEPT

E por último, eu crio o somaxconn mas o problema ainda persiste...

net.core.somaxconn = 1024

Existe uma sugestão sobre como consertar isso? qual configuração/ferramenta preciso fazer para evitar esse cenário?

Responder1

(deve ser um comentário - mas muito longo/comentários não formatam)

isso é por causa de um ataque de inundação SYN

Tem certeza? Como você determinou isto? Você verificou secookies de sincronizaçãoestá ligado?

Vejo que há várias tentativas de login

Bem vindo à internet. Presumo que você saiba que isso provavelmente não está relacionado a uma inundação de sincronização. VerDicas para lidar com uma taxa surpreendentemente alta de falhas de login sshd de "botnet"?

informação relacionada