Est-ce que quelqu'un essaie de pirater mon serveur? Que puis-je faire?
Il y a quelques semaines, j'ai posté ici une question sur certains problèmes de ssh que j'avais avec une boîte Ubuntu 12.04. Aujourd'hui, j'essaie de permettre à quelqu'un d'autre d'accéder à la machine, mais des erreurs de mot de passe continuent de se produire. Je vérifie var/logs/auth.log pour plus d'informations, et trouve ceci:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
J'ai presque 10000 lignes qui semblent toutes dire plus ou moins la même chose (il y a aussi 4 fichiers auth.log.gz, qui, je suppose, sont plus ou moins identiques?). Parfois, un nom d'utilisateur aléatoire est associé à la demande, input_userauth_request: invalid user bash [preauth]
Je ne connais pas grand chose aux serveurs, mais il semblerait que quelqu'un essaie d'accéder aux miens.
Nous avons cherché sur Google pour savoir comment bloquer une adresse IP dans Ubuntu et avons obtenu ceci: iptables -A INPUT -s 211.110.xxx.x -j DROP, mais après avoir exécuté cette commande et vérifié les journaux, je reçois toujours des demandes de cette IP toutes les 5 secondes.
Comment puis-je en savoir plus sur ce qui se passe et traiter ces demandes constantes?
D'après ce que vous décrivez, cela ressemble à une attaque automatisée sur votre serveur. La plupart des attaques le sont, à moins que l'attaquant ne vous connaisse personnellement et ne le supporte pas ...
Quoi qu’il en soit, vous voudrez peut-être examiner denyhosts, que vous pouvez obtenir à partir des pensions habituelles. Il peut analyser les tentatives répétées et bloquera leur adresse IP. Vous pouvez toujours obtenir quelque chose dans vos journaux, mais cela contribuera au moins à atténuer les problèmes de sécurité.
Pour ce qui est d'obtenir plus d'informations, cela ne me dérangerait vraiment pas. À moins qu’ils ne soient amateurs, ils utiliseront un serveur distant pour faire leur sale boulot, ce qui ne vous dira rien de qui ils sont vraiment. Votre meilleur choix est de trouver l'administrateur de la plage d'adresses IP (WHOIS est votre ami ici) et de lui faire savoir que vous obtenez de nombreuses tentatives d'accès à partir de cette adresse IP. Ils auront peut-être la bonté de faire quelque chose.
Vous ne voulez pas voir ces tentatives de connexion infructueuses dans vos journaux, vous devez donc filtrer cette IP sur le réseau.
Si vous avez votre propre routeur ou pare-feu matériel (pas celui sur le serveur), utilisez-le pour bloquer cette adresse IP. Vous pouvez également demander à votre fournisseur d'accès Internet de le bloquer.
Si le serveur est VPS, demandez à votre fournisseur VPS de bloquer cette IP. Dans la plupart des cas, ils ne refuseront pas votre demande d’aide, car cela ne leur coûte rien.
Les attaques depuis une adresse IP unique peuvent être facilement atténuées par rapport aux attaques provenant de nombreuses adresses IP différentes. Pour vous protéger contre les attaques distribuées, vous avez besoin d'un service spécial de votre fournisseur de réseau que vous devez payer. Au niveau du serveur, vous pouvez vous battre avec Denyhosts ou Fail2ban. Fail2ban protège non seulement ssh mais d'autres services. Il utilise un peu plus de mémoire. Fail2ban utilise iptables pour bloquer les adresses IP et DenyHosts utilise le fichier hosts.deny, les deux utilisent des journaux pour rechercher les tentatives malveillantes. Vous pouvez également configurer iptables pour des tentatives ssh de limitation de débit qui ne reposent pas sur des journaux.
Toutes les bonnes réponses ci-dessus, cependant ...
Vous avez écrit "J'essaie de permettre à quelqu'un d'autre d'accéder à la machine, mais des erreurs de mot de passe se produisent"
Comme la plupart d'entre nous sommes sur une adresse IP dynamique avec une durée de bail DNS fournisseur limitée, la plupart d'entre nous utilisons un service DNS dynamique pour accéder à notre serveur en déplacement. Se pourrait-il que votre utilisateur distant utilise également un tel service pour vous contacter et que ce soit l'adresse IOP que vous voyez?
BTW - de nombreux "pirateurs de ports" comptent sur vous pour faire ce que font beaucoup d'utilisateurs de serveurs domestiques, à savoir qu'ils ne modifient pas l'identifiant de connexion par défaut de l'état de livraison. (souvent "admin" !!) et lancez toutes les combinaisons possibles du mot de passe
Je pense que vous constaterez que 99% des tentatives de piratage informatique proviennent de Chine. C'est ce que j'ai trouvé. Il est inutile de signaler une IP chinoise pour piratage, car il est probablement sanctionné par l'État. Je ne bloque pas seulement l'adresse IP, je bloque la plage d'adresses IP. Utilisez l'option "sous-réseau" de votre routeur ou avec IPTables sur votre machine Linux, utilisez le sous-réseau ou "/ bits" (par exemple:/24). Cette page vous donnera une liste de blocs IP par pays (il y a un fichier tar.gz avec tous): http://www.ipdeny.com/ipblocks/data/countries . La page Web WHOIS https://whois-search.com/ vous donne un bon départ pour déterminer le pays dans lequel rechercher.