Saya sangat baru dalam administrasi jaringan, jadi harap perhatikan bahwa saya belum berpengalaman.
Saya memiliki server root Ubuntu dengan panel plesk.
Kemarin saya dan teman-teman memperhatikan bahwa kualitas bicara di TS3 kami menjadi sangat buruk. Saya mengirim beberapa ping ke server dan ada paket loss yang sangat tinggi. Setelah itu saya googled sedikit dan ternyata ada auth.log
. Saya mengunduhnya dan menggulirkannya sedikit, kemudian saya menemukan ini:
May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth]
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown
May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.220.198.102
May 13 10:01:29 rs204941 sshd[9351]: Failed password for invalid user student from 112.220.198.102 port 39806 ssh2
May 13 10:01:29 rs204941 sshd[9351]: Received disconnect from 112.220.198.102: 11: Bye Bye [preauth]
May 13 10:01:31 rs204941 sshd[9353]: Invalid user student from 112.220.198.102
Sepertinya seseorang mencoba masuk lebih dari SSH berkali-kali. Saya menggulirkan sedikit ke sekitar, dan melihat, bahwa seseorang ini mencoba menggunakan banyak nama pengguna yang berbeda:student, tech, psi, news,...
Ratusan login ini ditampilkan dalam file.
Saya mencari statistik lalu lintas di situs web pusat data saya. Itu hanya di 17MB per jam. Saya memiliki 100Mbit Backbone, jadi transfer data itu sendiri tampaknya tidak menjadi masalah.
Saat ini saya tidak bisa mendapatkan akses ke server dengan cara apa pun.
Pertanyaan saya adalah: bagaimana saya bisa mendapatkan akses lagi, bagaimana saya bisa mengatasi serangan ini dan mencegah serangan berikut?
Jawaban:
Tidak jelas mengapa Anda tidak dapat mengakses akun Anda.
Jika mesin Anda sedang diserang atau memuat banyak, Anda harus berbicara dengan penyedia Anda tentang membatasi akses (Pembatasan IP) atau menjadikan server offline (memutuskan sambungan dari Internet).
Anda mungkin juga memerlukan akses di luar jalur yang dapat dibantu oleh penyedia Anda.
Jika seseorang telah mengkompromikan server Anda, Anda mungkin perlu memulihkan dari cadangan atau menggunakan gambar pemulihan.
cara terbaik untuk mencegah masuknya brute force?
Jangan biarkan mereka sampai ke mesin Anda di tempat pertama! Ada banyak cara untuk menghentikan upaya kekerasan sebelum sampai ke tuan rumah Anda, atau bahkan di tingkat SSH.
Karena itu, melindungi Sistem Operasi Anda dengan sesuatu seperti fail2ban adalah ide bagus. http://en.wikipedia.org/wiki/Fail2ban
Ada sejumlah teknik keamanan penting yang harus Anda pertimbangkan untuk membantu mencegah masuknya brute force:
SSH:
Aplikasi:
sumber
Biasanya saya mengubah port ssh default dari 22 ke yang lain seperti 1122. Ini mencegah banyak serangan otomatis dari bot, tetapi scan port sederhana dapat mendeteksi itu. Bagaimanapun:
dan edit Port 22 ke Port 1122 , tetapi ini tidak cukup.
Aturan IPTables otomatis tentang bruteforce
saya menggunakan log2iptables https://github.com/theMiddleBlue/log2iptables sebagai gantinya Fail2ban, karena merupakan skrip Bash sederhana yang mem-parsing semua file log dengan ekspresi reguler dan menjalankan iptables. Misalnya ketika 5 pertandingan terjadi, log2iptables menjatuhkan alamat ip tertentu. Ini keren karena menggunakan API Telegram dan dapat mengirim saya pesan di ponsel saya ketika dia menemukan masalah :)
Semoga ini bisa membantu!
sumber
Saya baru saja menyatukan ini, jalankan setiap 15 menit sebagai cronjob dll:
sumber
Ini adalah solusi alternatif saya untuk serangan SSH. Idenya adalah tetap menutup daemon SSH jika tidak digunakan. Tidak ada port terbuka, tidak ada serangan. Kamu bisa mencobanya. Ini adalah open source https://github.com/indy99/nnet_port_guard
sumber
Solusi Otomatis untuk Centos / RHEL untuk Memblokir Aktor Buruk
Berikut ini adalah skrip untuk Centos untuk memeriksa ssh gagal login untuk akun pengguna yang tidak valid dan kata sandi yang salah untuk akun yang valid. Jika IP sumber telah mengenai kami lebih dari 3 kali dan belum ada di daftar tolak, itu akan ditambahkan ke daftar tolak. Saya menjalankan ini setiap 15 menit dari crontab root. Saya juga melarang login root melalui ssh, jadi kombinasinya membuat semuanya tetap tenang.
sumber
fail2ban
yang melakukan hal yang sama dan teruji dalam pertempuran.