У меня очень странная ситуация. Я только что создал новую виртуальную машину, она работает всего 30 минут, и я вижу странную активность в auth.log:
Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11: [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Я только что сделал обновление/апгрейд виртуальной машины и добавил нового admпользователя. Как меня могли так быстро атаковать?
решение1
Это обычное дело. «Хакеры» будут использовать список IP-адресов Azure и попытаются получить доступ к вашему серверу методом подбора SSH. Как показывает журнал выше, были сделаны только неудачи. Скорее всего, ваш IP-адрес был не назначен другой виртуальной машиной Azure.
Почти каждый сервер, который я настраивал онлайн, имеет эту проблему. Есть два действия, которые я рекомендую вам сделать.
Измените порт SSH на другой., это значительно снижает ваши шансы подвергнуться нападению.
Установитьfail2ban. Это позволит вам банить IP-адреса на определенный период времени или навсегда, когда будет выполнено x-е количество аутентификаций.
Кроме того, использование SSH только с ключом еще больше повышает безопасность.
решение2
Вас еще не взломали, но кто-то пытается проникнуть внутрь.
вам следует реализоватьFail2Banдля временной блокировки IP-адресов после определенного количества неудачных попыток входа в систему.
В вашей ситуации нет ничего, что делало бы вас «новым пользователем виртуальной машины или администратором» значимым. Атака направлена на учетную rootзапись, а виртуальная машина находится на IP-адресе, который существовал до того, как был назначен виртуальной машине. Кто-то выполнил сканирование портов, заметил, что порт работает, а затем попытался провести распределенную атаку методом подбора. Вероятно, у бывшего получателя IP-адреса также были службы SSH, поэтому вы можете столкнуться с атакой, которая уже проводилась против предыдущего получателя. Мы никак не можем это определить.
решение3
Это довольно распространенная ситуация и, к сожалению, будет происходить постоянно. Эти попытки — просто боты, проверяющие целые классы IP-адресов наугад, а ваш появился только через 30 минут после того, как вы развернули свою виртуальную машину. Я предлагаю установить fail2ban, если вас это беспокоит.
решение4
Когда вы законно входите на свой удаленный хост, вы должны использовать ключи SSH, чтобы избежать использования пароля... как только это произойдет, отключите разрешение паролей на этом удаленном хосте... на своем удаленном хосте отредактируйте
vi /etc/ssh/sshd_config
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no
затем, находясь на удаленном хосте, отключите его демон ssh, выполнив:
sudo service sshd restart
(и нет, это не завершит вашу сессию входа по SSH, если вы не вошли в систему с использованием пароля)
Это изменение будет заранее блокировать все попытки входа в систему с использованием пароля, и поэтому подобные сообщения прекратятся.
Failed password for root from 182.100.67.173 port 41144 ssh2