Beaucoup de tentatives de connexion SSH ont été trouvées dans auth.log
J'utilise mon propre Droplet DigitalOcean sur Ubuntu. Aujourd'hui, j'ai constaté que ma connexion SFTP à Droplet était un peu lente lorsque je travaillais dessus. J'ai donc vérifié les fichiers /var/log/auth.log pour voir ce qui se passait.
J'ai constaté qu'au cours des sept derniers jours environ, un grand nombre de connexions SSH ayant échoué à partir d'une variété d'adresses IP (une fois par minute, par exemple). Elles ressemblent le plus souvent à des attaques par dictionnaire, car de nombreux noms d'utilisateur aléatoires sont utilisés.
J'avais une configuration IPTABLES de base qui bloquait auparavant les connexions SSH consécutives, et j'ai augmenté ma sécurité depuis en interdisant les connexions root et en modifiant mon port SSH à partir de 22. J'ai également changé mes mots de passe de connexion pour mes comptes privilégiés.
Je ne sais pas depuis combien de temps je suis sous cette attaque par dictionnaire, et mes journaux n'indiquent aucune connexion suspecte. Ma question est la suivante: devrais-je me préoccuper des tentatives de connexion réussies de cette attaque par dictionnaire? Je crains que ce ne soient des bots qui auraient installé un logiciel malveillant lors d'une tentative de connexion réussie via root.
Bien qu'il soit peu probable que le système réussisse si vous disposiez d'un mot de passe root fort, vous pouvez rechercher des logiciels malveillants à l'aide d'outils tels que tcptrack pour voir si des connexions suspectes ont été établies à partir du serveur.
Sauf les logiciels malveillants qui communiquent avec le monde extérieur, il serait très difficile de déterminer où exactement un attaquant potentiel aurait placé ledit logiciel malveillant, puisqu’une fois accès root, vous êtes par tous les moyens compromis et la personne a le contrôle total de tout sur le système. Si vous pensez qu'un utilisateur a maintenant accès à la racine, la meilleure solution consiste à transférer toutes les données dont vous avez besoin à partir du droplet et à tout recommencer à zéro, en vous assurant que de meilleures pratiques de sécurité sont suivies afin d'éviter une telle attaque. possible
Une autre étape pour améliorer la sécurité consiste à refuser tout type d’authentification par mot de passe et à le limiter à seulement PublicKey authentication afin que de telles attaques par dictionnaire soient inefficaces.
Si, pour une raison quelconque, vous devez utiliser des mots de passe (ce qui n'est pas nécessaire et qui est fortement déconseillé), vous pouvez configurer knockd utiliser le port frappant pour s’assurer qu’un attaquant ne peut pas déterminer le port sur lequel ssh est activé. Notez qu'il ne s'agit que de sécurité par obscurité et que vous avez toujours besoin de mots de passe/phrases secrètes forts.