有人试图入侵我的服务器吗? 我能做什么?
几个星期前,我在这里发布了一个问题,关于我在Ubuntu 12.04盒子里遇到的一些ssh问题。 快进到今天,我试图允许其他人访问该机器,但他们不断收到密码错误。 我查看了var/logs/auth.log以获取更多信息,并发现:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
我有近10000行,似乎都说或多或少相同的东西(还有4个auth.log.gz文件,我假设它们更相同?)。 有时会在请求中附加一个随机用户名, input_userauth_request: invalid user bash [preauth]
我对服务器了解不多,但看起来有人试图访问我的服务器。
谷歌搜索如何阻止Ubuntu中的IP地址,并最终得到这个: iptables -A INPUT -s 211.110.xxx.x -j DROP ,但在运行该命令并检查日志后,我仍然收到来自此的请求每5秒一个IP。
我怎样才能更多地了解正在发生的事情并处理这些不断变化的请求?
根据您的描述,它看起来像是对您的服务器的自动攻击。 大多数攻击都是,除非攻击者亲自了解你并且怀恨在心……
无论如何,你可能想要查看denyhosts,你可以从通常的回购。 它可以分析重复尝试并阻止其IP地址。 您可能仍会在日志中获得某些内容,但它至少可以帮助缓解任何安全问题。
至于获取更多信息,我真的不会打扰。 除非他们是业余爱好者,否则他们将使用远程服务器进行肮脏的工作,这将无法告诉你他们到底是谁。 您最好的办法是找到IP范围的管理员(WHOIS是您的朋友),让他们知道您从该IP获得了大量的访问尝试。 他们可能已经做得很好了。
您不希望在日志中看到此失败的登录尝试,因此您应该在网络中过滤此IP。
如果您有自己的路由器或硬件防火墙(不是服务器上的防火墙),请使用它来阻止此IP。 您也可以要求您的互联网服务提供商阻止它。
如果服务器是VPS,请要求您的VPS提供商阻止此IP。 在大多数情况下,他们不会拒绝您的帮助请求,因为它不需要任何费用。
与来自许多不同IP的攻击相比,可以轻松地减轻来自单个IP的攻击。 为了防止分布式攻击,您需要从网络提供商处获得必须支付的特殊服务。 在服务器级别,您可以使用Denyhosts或Fail2ban进行战斗。 Fail2ban不仅保护ssh,还保护其他服务。 它使用更多的内存。 Fail2ban使用iptables来阻止IP,而DenyHosts使用文件hosts.deny,都使用日志来查找恶意企图。 您还可以为不依赖日志的速率限制ssh尝试配置iptables。
不过上面所有的好答案……
您写道“我正在尝试允许其他人访问该计算机,但他们不断收到密码错误”
由于我们大多数人都使用有限的提供商DNS租约时间的动态IP,我们大多数人在旅途中使用动态DNS服务来访问我们的服务器。 可能是你的远程用户也在使用这样的服务来找你,那就是你看到的IOP地址吗?
顺便说一句 – 很多“端口窃听”黑客依赖你做许多家庭服务器用户所做的事情,即他们不会改变默认的交付状态登录ID。 (通常是“admin”!!)并且只是触发所有可能的密码组合
1。 除非你需要永远不要打开服务器到网络的标准端口。 将路由器设置为打开一个随机端口,如53846,并将其转发到该机器端口22。
机会黑客可以扫描各种已知端口的IP地址,例如22和tryto exploit。
第二次击中了他。 Nmap他,找出他在跑什么。 然后尝试访问他的。 就像回火一样。 如果他知道你在他身边,可能会停下来。
你也可以像警告一样疯狂地对他打电话。
第3次 如果您想要玩得开心,可以打开来宾帐户。 确保没有任何特权。 将其限制为访客主目录。 如果你想变得可爱,你可以设置一个虚假的根目录结构来运行。 将密码设置为普通密码或不设置密码。用户登录。
然后你可以使用write命令并问他为什么坚持锤击你的服务器。