Ubuntu 伺服器遭到攻擊?怎麼解決?

tag-icon tag-icon security ubuntu hacking malware udp
Ubuntu 伺服器遭到攻擊?怎麼解決?

有些東西(某人)正在發送從我們整個 IP 範圍發送的 UDP 封包。這似乎是多播 DNS。

我們的伺服器主機提供了這個(我們的 IP 位址用 XX 屏蔽):

Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53

我檢查了 /var/log/auth.log 文件,發現來自中國的某人(使用 ip-locator)正在嘗試使用 ssh 進入伺服器。

...
Jun  3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2
Jun  3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25  user=root
Jun  3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2
Jun  3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25  user=root
...

我已使用以下命令阻止該 IP 位址: sudo iptables -A INPUT -s 202.100.108.25 -j DROP

但是,我不知道 UDP 多播,這是做什麼的?誰在做這件事?我怎麼才能阻止它?

有人知道嗎?

答案1

坦白說,為什麼要麻煩呢?大多數伺服器每天都會進行數百次掃描和登入嘗試。手動阻止所有這些根本不可能。

您的防火牆似乎正在發揮作用。畢竟它會阻止不需要的流量。

確保您不運行任何不需要的服務。可用的越少,可闖入的就越少。

若要保護 SSH: 確保將 SSH 設定為拒絕 root 登入。驗證所有 SSH 帳號的密碼是否安全。拒絕主機在幾次失敗的登入嘗試後會自動封鎖 IP(非常有用),但請確保將自己的 IP 範圍列入白名單,否則您將面臨被鎖定的風險。在不同的連接埠上執行 SSH 也非常有效,因為大多數攻擊只嘗試連接埠 22。

我只會在影響您的服務或頻寬時採取行動。檢查流量來源網路區塊的所有者的 whois,並向所有者的濫用地址提供清晰且友好的投訴。如果他們沒有在合理的時間內回复,請聯繫他們的 ISP 等。

答案2

對於阻止第三方欺騙您的 IP 位址,您無能為力 - 這就像帶有您的寄件者地址的垃圾郵件。所有可以做的事情可能已經透過您機器前面的 ISP 文件牆完成了。

不過,您可以更輕鬆地阻止 ssh 登入嘗試。拒絕主機(我在所有伺服器上使用),或類似的失敗2禁止(不僅僅是 SSH)掃描日誌檔案和「太多」嘗試登入後,都會阻止 IP 位址(我通常只是像 DenyHosts 那樣,並將 IP 位址新增至 /etc/hosts.deny)

答案3

UDP 很容易欺騙來源位址,資料包可能來自任何地方。有人可能會偽造一個資料包發送到您的廣播地址。過濾連接埠 5353 傳入和傳出,組播 DNS 應該是本地的。在防火牆上過濾廣播位址。過濾到目標位址的傳出流量,以確保您不是發送流量的人。

這看起來很像去年在 DNS 上執行的放大攻擊。這些是透過偽造來源位址來完成的。如果是這種情況,您就是真正的目標。

相關內容