我的情況很奇怪。我剛剛創建了一個新的虛擬機,它只運行了 30 分鐘,我在以下位置看到了奇怪的活動auth.log:
Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11: [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
我僅對虛擬機器進行了更新/升級並新增了新adm用戶。我怎麼會這麼快就被攻擊呢?
答案1
這是很常見的事情。 「駭客」將使用天藍色 IP 列表,並嘗試暴力 SSH 來存取您的伺服器。如上面的日誌所示,僅發生了失敗。您的 IP 很可能未從另一個 Azure VM 指派。
我在線設置的幾乎所有伺服器都存在此問題。我建議您採取兩項行動。
將 SSH 連接埠變更為其他連接埠,這大大降低了你受到攻擊的機會。
安裝失敗2禁止。這將允許您在一段時間內禁止 ip,或在進行 x 次身份驗證後永久禁止 ip。
另外,使用僅密鑰 SSH 可以進一步提高安全性。
答案2
您尚未被駭客入侵,但有人正試圖入侵。
你應該實施失敗2Ban登入嘗試失敗一定次數後暫時封鎖 IP。
您的情況沒有任何意義使「新的 VM 或 adm 使用者」變得有意義。攻擊針對的是root帳戶,且虛擬機器所在的 IP 位址在分配給虛擬機器之前就已存在。有人執行了連接埠掃描,發現連接埠已啟動,然後嘗試進行分散式暴力攻擊。該 IP 位址的前受讓人很可能也擁有 SSH 服務,因此您可能遇到了針對前受讓人的攻擊。我們無從得知。
答案3
這是很常見的情況,不幸的是,這種情況會不斷發生。這些嘗試只是機器人隨機偵測整個 IP 類別,而您的嘗試在部署虛擬機器 30 分鐘後才出現。如果你覺得麻煩的話我建議安裝fail2ban。
答案4
當您合法登入遠端主機時,您應該使用 ssh 金鑰來避免使用密碼...一旦這是真的,請停用允許該遠端主機上的密碼...在您的遠端主機上編輯
vi /etc/ssh/sshd_config
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no
然後在遠端主機上透過發出以下命令來反彈其 ssh 守護程序:
sudo service sshd restart
(不,它不會終止您的 ssh 登入會話,除非您使用密碼登入)
此變更將搶先阻止所有使用密碼的登入嘗試,因此這些訊息將停止
Failed password for root from 182.100.67.173 port 41144 ssh2