Apakah server saya menjadi paksa-SSH?

2

Saya perhatikan kecepatan internet saya melambat menjadi merangkak. Saya memulai kembali server Ubuntu di rumah saya dan kecepatannya segera meningkat. Jadi saya memeriksa koneksi jaringan aktif netstat -tupndan menemukan koneksi yang mencurigakan dari pengguna yang tidak dikenal:

masukkan deskripsi gambar di sini

Saya melacak alamat IP, dan itu berasal dari perusahaan China Telecom, lonceng alarm antrian.

Jadi porta panggilan saya berikutnya adalah untuk memeriksa upaya login ssh ke server saya, dan saya perhatikan saya mendapatkan banyak - banyak - upaya kata sandi yang gagal:

masukkan deskripsi gambar di sini
(Klik gambar untuk memperbesar)

Langkah selanjutnya adalah saya hanya mematikan port forwarding untuk SSH pada router saya - sesuatu yang saya yakin cukup aman. Upaya koneksi segera terhenti.

Apakah saya benar berpikir seseorang memaksa server saya? Bagaimana saya bisa mencegah hal seperti ini terjadi lagi? Saya ingin mengaktifkan kembali port forwarding untuk ssh lagi di beberapa titik, tetapi tidak jika itu berarti saya akan dihujani oleh upaya login lagi.

Saya masih memiliki penerusan port smb ke server saya yang diaktifkan. Apakah ini aman?

Saya baru dalam hal ini. Saya hanya mengatur server ini (pertama saya) awal tahun ini untuk berkolaborasi dalam suatu proyek, sehingga bimbingan dari guru server di sini akan sangat dihargai. :)

ryansin
sumber
Kecuali jika Anda ingin mengizinkan siapa pun dari luar LAN Anda terhubung ke LAN Anda, Anda perlu menolak alamat apa pun, bukan pada LAN Anda agar tidak terhubung. Kalau tidak begitu Anda mengaktifkan port forwarding lagi serangan akan berlanjut. Anda telah menonaktifkan kemampuan ssh root, kan? Anda harus menemukan titik di mana pengguna jahat berhasil mengotentikasi.
Ramhound
Apakah Anda tahu pesan apa yang akan menunjukkan otentikasi yang berhasil? Jadi saya bisa mencarinya
ryansin

Jawaban:

8

Mengapa? Karena Anda memiliki sistem di internet.

Beberapa langkah sederhana yang dapat Anda ambil untuk memerangi ini:

  1. Nonaktifkan otentikasi kata sandi dan gunakan auth kunci sebagai gantinya.
  2. Tetapkan aturan firewall untuk hanya menerima koneksi SSH dari alamat IP tempat Anda akan terhubung.
  3. Instal sesuatu seperti fail2ban, yang dapat menonton log SSH Anda untuk upaya paksa dan mematikan alamat IP yang menyinggung secara otomatis.

Saya masih memiliki penerusan port smb ke server saya yang diaktifkan. Apakah ini aman?

Tidak. Sangat tidak.

SMB seharusnya tidak dapat diakses melalui internet. Titik. Jika Anda memerlukan akses ke saham SMB dari jarak jauh, maka lakukanlah melalui terowongan VPN.

EEAA
sumber
1
Terima kasih EEAA. Tidak yakin saya pernah mendengar menggunakan kunci auth, bagaimana saya mengaturnya? Penerusan port SSH hanya diaktifkan saat saya mengaksesnya dari luar jaringan rumah saya. Saya tidak melakukannya lagi jadi saya mungkin juga membiarkannya dinonaktifkan. Fail2ban terdengar menarik, saya akan memeriksanya. Terima kasih lagi!
ryansin
2
@ user2696497 Ada banyak panduan di internet tentang cara mengatur otentikasi kunci.
EEAA
1
Apakah saya perlu khawatir tentang koneksi "tidak dikenal" yang disebutkan dalam pos?
ryansin
Iya; Anda harus khawatir
Ramhound
Mengingat pengungkapan kembali Microsoft baru-baru ini: Badlock, sepertinya saat yang sangat buruk untuk mengekspos SMB, terutama jika Anda tidak ditambal.
realityChemist
1

Saya setuju dengan @ richard-boonen. Saya telah memiliki setup penerusan port ssh selama satu tahun sekarang dan tidak memiliki tanda-tanda seseorang yang mencoba memaksa sistem (karena port default 22 tidak diaktifkan). Tentu saja seseorang dapat menemukan port ini dan kemudian menyerang, tetapi kemungkinan serangan terhadap port non-default jelas lebih kecil dari port default.

Di bawah ini adalah langkah-langkah untuk mengubah file konfigurasi

Edit file konfigurasi:

1) Buka terminal (gunakan nano atau editor teks apa pun yang Anda pilih)

sudo nano /etc/ssh/sshd_config

Cari yang berikut -

# What ports, IPs and protocols we listen for
Port 22 # ==> change 22 to another port (make sure that it does not conflict with applications that use specific ports)
Akan
sumber
1

Sangat mungkin serangan brute-force sedang berlangsung, meskipun jika demikian, itu bukan serangan yang sangat efektif. Sangat mungkin seseorang membuat kesalahan dalam skrip di suatu tempat untuk menekan alamat IP yang salah. (Saya mengatakan ini karena semua permintaan datang dari satu alamat IP, dan mereka tidak datang secepat itu).

Seperti yang dikatakan orang lain, memiliki SMB yang terpapar langsung ke Internet memohon untuk diretas - gunakan VPN atau firewall untuk IP statis tertentu yang dikenal untuk berkomunikasi dengan Anda. (Bahkan firewall bukanlah ide bagus karena orang masih dapat mengendus data dalam penerbangan)

davidgo
sumber
0

jawaban @EEAA jelas mencakup semua yang penting, saya ingin menambahkan bahwa selain itu Anda juga dapat memindahkan port ssh Anda ke port non-standar, yang selanjutnya menurunkan jumlah serangan setidaknya sedikit.

Richard Boonen
sumber