有人试图入侵我的服务器吗？我能做什么？

12

几周前，我在这里发布了一个有关sshUbuntu 12.04盒子遇到的一些问题的问题。时光倒流到今天，我正在尝试允许其他人访问该计算机，但他们不断收到密码错误。我签出var/logs/auth.log更多信息，发现了这一点：

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

我几乎有10000行，似乎都说或多或少是同一件事（也有4个auth.log.gz文件，我假设它们是相同的吗？）。有时，请求中会附加一个随机的用户名，input_userauth_request: invalid user bash [preauth]

我对服务器了解不多，但似乎有人试图访问我的服务器。

谷歌到处寻找如何在Ubuntu中阻止IP地址，并得到以下结果：iptables -A INPUT -s 211.110.xxx.x -j DROP，但是在运行该命令并检查日志后，我仍然每5秒从该一个IP收到请求。

我如何才能了解正在发生的事情并处理这些不断提出的要求？

server ssh iptables

— 用户名
source

的DenyHosts是伟大的，但要注意的是一个死的项目:(你应该考虑使用iptables askubuntu.com/questions/433924/...

— AMC

14

根据您的描述，它看起来像是对服务器的自动攻击。除非攻击者本人认识您并怀恨在心，否则大多数攻击都是...

无论如何，您可能想研究denyhosts，您可以从常规存储库中获得这些宿主。它可以分析重复的尝试，并将阻止其IP地址。您可能仍会在日志中得到一些信息，但这至少有助于减轻任何安全隐患。

至于获得更多信息，我真的不会打扰。除非他们是业余爱好者，否则他们将使用远程服务器执行其肮脏的工作，而这些工作不会告诉您他们的真实身份。最好的选择是找到IP范围的管理员（WHOIS在这里是您的朋友），并让他们知道您从该IP获得了很多访问尝试。他们可能足以做一些事情。

— Drac Noc
source

3

+1。您已经打开了通往外部Internet的端口：人们试图获得访问权限，但是失败了。那或多或少像往常一样。如果您可以访问上游路由器，则可以将其设置为断开来自211.110.xxx.x的连接，这样您自己的日志文件就不会受到严重污染。

— 2014年

我添加了denyhosts，现在日志显示了refused connect from....，但是我很好奇是否每5秒收到一次这些废话请求可能会对以后的服务器性能造成影响吗？我如何知道我是否可以访问上游路由器？我只有root用户访问权限

— user2936314 2014年

2

上游路由器是指您管理的家庭或公司网络中的网关路由器。如果您不知道，则很可能无法访问它。丢弃数据包几乎不会降低性能。

— 2014年

2

每5秒从一个IP发出一个请求不会对您的性能产生任何重大影响。

— Drac Noc

3

对于暴露在网络（当然，对于任何SSH服务器真的），你应该设置服务器PermitRootLogin no，并PasswordAuthentication no在/ etc / SSH / sshd_config中

— unhammer

3

您不想在日志中看到这种失败的登录尝试，因此您应该在网络中过滤该IP。

如果您拥有自己的路由器或硬件防火墙（而不是服务器上的防火墙），请使用它来阻止此IP。您也可以要求您的互联网提供商阻止它。

如果服务器是VPS，则要求您的VPS提供商阻止该IP。在大多数情况下，他们不会拒绝您的帮助请求，因为这不会使他们付出任何代价。

与来自许多不同IP的攻击相比，可以轻松缓解来自单个IP的攻击。为了防止分布式攻击，您需要网络提供商的特殊服务，您需要付费。在服务器级别，您可以与Denyhosts或Fail2ban战斗。Fail2ban不仅保护ssh，还保护其他服务。它使用更多的内存。Fail2ban使用iptables阻止IP，而DenyHosts使用文件hosts.deny，两者都使用日志查找恶意尝试。您还可以将iptables配置为不依赖日志的速率限制ssh尝试。

— 弗拉迪兹
source

有没有办法从我的计算机中停止从该IP登录？

— user2936314 2014年

过滤日志不是一个好主意。您可能永远不会知道，他们可能会很幸运，并且您需要完整的书面历史记录。

— Drac Noc

@ user2936314确实不是一个好主意，最好更改ssh端口。更改端口不是完美的解决方案，但是您将摆脱许多机器人。其中一些更智能，可以扫描开放端口。我遇到了同样的问题，fail2ban每天阻止20个IP。更改ssh端口后，我发现恶意ssh尝试的次数大大减少

— vladiz 2014年

你们都很棒。推荐阅读ubuntu服务器管理员简介？我正在阅读Linux编程接口，但看起来并没有涵盖太多内容

— user2936314 2014年

1

@ user2936314查看官方文档，Ubuntu 12.04或所需版本的服务器指南。

— vladiz

0

上面所有好的答案，但是...

您写道：“我正在尝试允许其他人访问该计算机，但他们不断收到密码错误”

由于我们大多数人使用的动态IP上的提供商DNS租期有限，因此我们大多数人在旅途中都使用动态DNS服务来访问我们的服务器。可能是您的远程用户也在使用这种服务来找到您，而这就是您看到的IOP地址？

顺便说一句-许多“端口窃听”黑客都依赖您来做许多家庭服务器用户的操作，即，他们不更改默认的交付状态登录ID。（通常是“ admin”！），然后通过所有可能的密码组合触发

— 大卫·沃克
source

我第一次注意到日志时就想到了这种情况。我与我认识的试图访问该计算机的人进行了核对，发现他的IP与日志中的IP不匹配。我知道他也没有尝试过每隔5秒就连续几天。不过关于动态ip的好处是，我有点担心使用denyhosts它，如果/当我的IP更改时，我最终将自己锁定在外面。看来我的周末将花费在这个[ askubuntu.com/questions/2271/how-to-harden-an-ssh-server]和文档上

— user2936314 2014年

0

我认为您会发现99％的黑客尝试都来自中国。这就是我所发现的。报告中国的IP用于黑客攻击是没有用的，因为它可能受到了国家的批准。我不仅阻止IP，还阻止IP的范围。使用路由器上的“子网”选项或Linux框中的IPTable，使用子网或“ /位”（例如：/ 24）。此页面将为您提供按国家/地区划分的IP阻止列表（所有文件均为tar.gz）：http : //www.ipdeny.com/ipblocks/data/countries。WHOIS网页https://whois-search.com/为您进入哪个国家/地区提供了良好的开端。

— Wazza65
source

-1

1号除非您永远不需要打开服务器到网络的标准端口。设置路由器以打开一个随机端口，例如53846，并将其转发到该计算机的端口22。

机会黑客可以扫描各种IP地址来查找已知端口（例如22）并尝试利用。

第二次击中他。Nmap他，找出他在跑什么。然后尝试获得对他的访问权。就像回火一样。如果他知道你在他身上，下摆可能会停止。

您也可以像警告球一样疯狂地对他进行ping操作。

第三名如果您想找点乐子，可以打开访客帐户。确保根本没有特权。将其限制在guest虚拟机的主目录中。如果您想变得可爱，可以设置一个伪造的根目录结构以进行运行。将密码设置为通用密码或不设置密码。让他登录。

然后，您可以使用write命令并询问他为什么他坚持要锤击您的服务器。

— 唐
source

（1）仅遮挡访问路由，但不保护它们。（2）在大多数司法管辖区都是非法的。（3）是有风险的，因为确实发生了配置错误，并且可能存在特权提升漏洞，而且可能毫无意义，因为正如您所指出的那样，大多数攻击是自动在IP地址范围内运行的。

— David Foerster，2014年