क्या कोई मेरे सर्वर में हैक करने की कोशिश कर रहा है? मैं क्या कर सकता हूँ?

12

कुछ हफ़्ते पहले मैंने एक प्रश्न पोस्ट किया sshथा कुछ मुद्दों के बारे में जो मैं एक Ubuntu 12.04 बॉक्स के साथ कर रहा था। आज के लिए तेजी से आगे और मैं किसी और को मशीन तक पहुंचने की अनुमति देने की कोशिश कर रहा हूं, लेकिन उन्हें पासवर्ड त्रुटियां हो रही हैं। मैं var/logs/auth.logअधिक जानकारी के लिए चेकआउट करता हूं , और यह पाया गया:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

मेरी लगभग 10000 पंक्तियाँ हैं जो सभी को कमोबेश एक ही बात कहती हैं (वहाँ भी 4 dif.log.gz फ़ाइलें हैं, जो मैं मान रहा हूँ कि वे एक ही अधिक हैं?)। कभी-कभी अनुरोध के साथ एक यादृच्छिक उपयोगकर्ता नाम जुड़ा होता है,input_userauth_request: invalid user bash [preauth]

मुझे सर्वरों के बारे में ज्यादा जानकारी नहीं है, लेकिन ऐसा लग रहा है कि कोई मेरा उपयोग करने की कोशिश कर रहा है।

उबंटू में एक आईपी पते को कैसे अवरुद्ध किया जाए, इसके बारे में पता चला और इसके साथ समाप्त हुआ: iptables -A INPUT -s 211.110.xxx.x -j DROPलेकिन उस कमांड को चलाने और लॉग्स की जांच करने के बाद, मुझे अभी भी हर 5 सेकंड में इस एक आईपी से अनुरोध मिल रहे हैं।

मैं कैसे पता लगा सकता हूं कि इन निरंतर अनुरोधों के साथ क्या हो रहा है?

server  ssh  iptables 
user2936314
स्रोत
Denyhosts महान है, लेकिन ध्यान दें कि यह एक मृत परियोजना है :( आपको iptables askubuntu.com/questions/433924/…
amc

जवाबों:

14

आप जो भी वर्णन करते हैं, वह आपके सर्वर पर एक स्वचालित हमले जैसा दिखता है। ज्यादातर हमले तब तक होते हैं, जब तक कि हमलावर आपको व्यक्तिगत रूप से नहीं जानता है और वह गंभीर स्थिति में है ...

वैसे भी, आप denyhosts में देखना चाह सकते हैं, जिसे आप सामान्य रेपो से प्राप्त कर सकते हैं। यह दोहराया प्रयासों का विश्लेषण कर सकता है और उनके आईपी पते को अवरुद्ध करेगा। आपको अभी भी अपने लॉग में कुछ मिल सकता है, लेकिन यह कम से कम किसी भी सुरक्षा चिंताओं को कम करने में मदद करेगा।

अधिक जानकारी प्राप्त करने के लिए, मैं वास्तव में परेशान नहीं होगा। जब तक वे एक शौकिया नहीं हैं, वे अपने गंदे काम करने के लिए एक रिमोट सर्वर का उपयोग करेंगे जो आपको बताएंगे कि वे वास्तव में कौन हैं। आपकी सबसे अच्छी शर्त आईपी रेंज के लिए एडमिन को ढूंढना है (WHOIS यहां आपका दोस्त है), और उन्हें बताएं कि आपको उस आईपी से बहुत सारे एक्सेस प्रयास मिल रहे हैं। वे इसके बारे में कुछ करने के लिए काफी अच्छे हो सकते हैं।

द्राक नोक
स्रोत
3
+1। आपने बाहर के इंटरनेट के लिए एक पोर्ट खोला है: लोग एक्सेस हासिल करने की कोशिश कर रहे हैं, लेकिन असफल हो रहे हैं। यह हमेशा की तरह कम या ज्यादा कारोबार है। यदि आपके पास एक अपस्ट्रीम राउटर तक पहुंच है, तो आप इसे 211.110.xxx.x से कनेक्शन छोड़ने के लिए सेट कर सकते हैं ताकि आपकी खुद की लॉग फाइलें इतनी बुरी तरह से प्रदूषित न हों।
जोस
मैंने डेनिहोस्ट्स को जोड़ा और अब लॉग दिखाते हैं refused connect from...., लेकिन मैं उत्सुक हूं कि क्या हर 5 सेकंड में ये बकवास अनुरोध प्राप्त करना बाद में सर्वर के प्रदर्शन के लिए एक मुद्दा हो सकता है? मुझे कैसे पता चलेगा कि मेरे पास अपस्ट्रीम राउटर तक पहुंच है? मेरे पास बस रूट एक्सेस है
user2936314
2
अपस्ट्रीम राउटर से मेरा मतलब है कि आपके अपने घर या कंपनी के नेटवर्क में एक गेटवे राउटर है जिसे आप प्रशासित करते हैं। यदि आप नहीं जानते हैं, तो आपके पास शायद इसकी पहुंच नहीं है। पैकेट छोड़ना शायद ही कोई प्रदर्शन हॉग है।
जोस
2
प्रत्येक 5 सेकंड में एक आईपी से अनुरोध प्राप्त करना आपके प्रदर्शन को किसी भी महत्वपूर्ण उपाय से प्रभावित नहीं करेगा।
द्रेक नोक
3
उन नेट के लिए (जो वास्तव में, किसी भी ssh सर्वर के लिए) अच्छी तरह से सामने आए सर्वरों के लिए आपको सेट करना चाहिए PermitRootLogin noऔर PasswordAuthentication no/ etc / ssh / sshd_config
unhammer
3

आप अपने लॉग में इस विफल लॉगिन प्रयास को नहीं देखना चाहते हैं, इसलिए आपको नेटवर्क में इस आईपी को फ़िल्टर करना चाहिए।

यदि आपके पास स्वयं राउटर या हार्डवेयर फ़ायरवॉल है (सर्वर पर नहीं है) तो इस आईपी को ब्लॉक करने के लिए इसका उपयोग करें। आप अपने इंटरनेट प्रदाता से इसे ब्लॉक करने के लिए भी कह सकते हैं।

यदि सर्वर VPS है तो अपने VPS प्रदाता से इस IP को ब्लॉक करने के लिए कहें। ज्यादातर मामलों में वे मदद के लिए आपके अनुरोध को अस्वीकार नहीं करेंगे, क्योंकि इससे उन्हें कुछ भी नहीं खर्च होता है।

कई अलग-अलग आईपी से आने वाले हमले की तुलना में एकल आईपी से हमलों को आसानी से कम किया जा सकता है। वितरित हमले से बचाने के लिए आपको नेटवर्क प्रदाता से विशेष सेवा की आवश्यकता होती है जिसे आपको भुगतान करना पड़ता है। सर्वर स्तर पर आप Denyhosts या Fail2ban से लड़ सकते हैं। Fail2ban न केवल ssh बल्कि अन्य सेवाओं की सुरक्षा करता है। यह थोड़ी अधिक मेमोरी का उपयोग करता है। Fail2ban IPs को ब्लॉक करने के लिए iptables का उपयोग करता है और DenyHosts फ़ाइल होस्टेसडेन का उपयोग करते हैं, दोनों दुर्भावनापूर्ण प्रयासों को खोजने के लिए लॉग का उपयोग करते हैं। आप ssh प्रयासों को सीमित करने के लिए iptables को भी कॉन्फ़िगर कर सकते हैं जो लॉग पर निर्भर नहीं करता है।

vladiz
स्रोत
क्या मेरी मशीन के भीतर इस आईपी से लॉगिंग को रोकने का कोई तरीका है?
user2936314
अपने लॉग को फ़िल्टर करना एक अच्छा विचार नहीं है। आप कभी नहीं जानते हैं, वे भाग्यशाली हो सकते हैं और आप एक पूर्ण लिखित इतिहास चाहते हैं कि क्या हुआ।
ड्रेक नोक
@ user2936314 वास्तव में एक अच्छा विचार नहीं है, आप बेहतर ssh पोर्ट को बदलते हैं। पोर्ट बदलना सही समाधान नहीं है, लेकिन आपको कई बॉट्स से छुटकारा मिल जाएगा। उनमें से कुछ अधिक बुद्धिमान हैं और खुले बंदरगाहों के लिए स्कैन करते हैं। मेरे पास एक ही समस्या थी और fail2ban प्रति दिन 20 आईपी को रोक रहा था। Ssh पोर्ट बदलने के बाद मैं दुर्भावनापूर्ण ssh प्रयासों की महत्वपूर्ण कमी का निरीक्षण करता
हूं
तुम लोग सब कमाल हो। Ubuntu सर्वर व्यवस्थापक के लिए परिचय के लिए अनुशंसित पढ़ने? मैं लिनक्स प्रोग्रामिंग इंटरफेस पढ़ रहा हूं, लेकिन ऐसा नहीं लगता है कि इस तरह का सामान बहुत कुछ कवर किया गया है
user2936314
1
@ user2936314 आधिकारिक दस्तावेज , उबंटू 12.04 या जो भी आपके लिए आवश्यक संस्करण है , के लिए सर्वर गाइड की जाँच करें ।
vladiz
0

उपरोक्त सभी अच्छे उत्तर, हालाँकि ...

आपने लिखा है "मैं किसी और को मशीन तक पहुंचने की अनुमति देने की कोशिश कर रहा हूं, लेकिन उन्हें पासवर्ड त्रुटियां होती रहती हैं"

जैसा कि हम में से अधिकांश डायनेमिक आईपी पर सीमित प्रदाता DNS लीज़ समय के साथ हैं, हम में से अधिकांश सड़क पर होने पर अपने सर्वर तक पहुंचने के लिए डायनेमिक DNS सेवा का उपयोग करते हैं। क्या ऐसा हो सकता है कि आपका दूरस्थ उपयोगकर्ता भी आपको प्राप्त करने के लिए इस तरह की सेवा का उपयोग कर रहा है और यह कि आप जिस IOP पते को देख रहे हैं?

BTW - बहुत सारे "पोर्ट टैपिंग" हैकर्स आप पर भरोसा करते हैं कि कई होम सर्वर उपयोगकर्ता क्या करते हैं, अर्थात्, वे डिफ़ॉल्ट वितरण स्थिति लॉगिन आईडी नहीं बदलते हैं। (अक्सर "व्यवस्थापक" !!) और पासवर्ड के सभी संभव संयोजनों के माध्यम से बस आग

डेविड वॉकर
स्रोत
मैंने इस मामले के बारे में सोचा जब मैंने पहली बार लॉग को देखा था। मैंने उस व्यक्ति के साथ जांच की जिसे मैं जानता हूं कि मशीन तक पहुंचने की कोशिश कर रहा था और उसका आईपी लॉग्स में मेल नहीं खाता था। मुझे पता है कि वह भी हर 5 सेकंड में दिनों के लिए पाने की कोशिश नहीं कर रहा था। हालांकि गतिशील ips के बारे में अच्छी बात है, मैं थोड़ा चिंतित denyhostsहूं कि इसका उपयोग करके मैं अपने आप को लॉक करने जा रहा हूं अगर / जब मेरा आईपी बदलता है। मेरी सप्ताह के अंत में की तरह दिखता है के माध्यम से इस [जा रहा खर्च किया जाएगा askubuntu.com/questions/2271/how-to-harden-an-ssh-server] और डॉक्स
user2936314
0

मुझे लगता है कि आप पाएंगे कि 99% हैकिंग प्रयास चीन से आते हैं। यही मैंने पाया है। यह हैकिंग के लिए एक चीनी आईपी की रिपोर्ट करना बेकार है क्योंकि यह संभवत: राज्य द्वारा स्वीकृत है। मैं सिर्फ आईपी को ब्लॉक नहीं करता, मैं उस आईपी को ब्लॉक करता हूं, जिसमें आईपी होता है। अपने राउटर पर "सबनेट" विकल्प का उपयोग करें या अपने लिनक्स बॉक्स पर आईपीटेबल्स के साथ, सबनेट या "/ बिट्स" (जैसे: / 24) का उपयोग करें। यह पृष्ठ आपको देश के द्वारा IP ब्लॉक की एक सूची देगा (इसमें सभी के साथ एक tar.gz फ़ाइल है): http://www.ipdeny.com/ipblocks/data/countries । WHOIS वेब पेज https://whois-search.com/ आपको किस देश में देखना है इसकी एक अच्छी शुरुआत देता है।

Wazza65
स्रोत
-1

1। जब तक आपको अपने सर्वर से मानक पोर्ट को नेट पर खोलने की आवश्यकता नहीं है। 53846 जैसे रैंडम पोर्ट को खोलने के लिए राउटर सेट करें और इसे उस मशीन पोर्ट 22 पर फॉरवर्ड करें।

ऑपर्च्युनिटी हैकर्स 22 और ट्रिटो शोषण जैसे ज्ञात बंदरगाहों के लिए आईपी पते की एक विस्तृत श्रृंखला को स्कैन कर सकते हैं।

2 उसे वापस मारा। उसे निमैप करें और पता करें कि वह क्या चला रहा है। फिर उसकी पहुँच प्राप्त करने का प्रयास करें। जैसे अग्नि लौटे। अगर वह जानता है कि आप उस पर हैं तो हेम रुक सकता है।

आप उसे चेतावनी के शॉट की तरह पागलों की तरह पिंग भी कर सकते थे।

3 आरडी। यदि आप कुछ मज़ा करना चाहते हैं, तो आप अतिथि खाते को खोल सकते हैं। सुनिश्चित करें कि कोई भी निजीकरण नहीं है। इसे मेहमानों की घर निर्देशिका में सीमित करें। यदि आप क्यूट होना चाहते हैं तो आप एक रन के लिए नकली रूट डायरेक्टरी स्ट्रक्चर सेट कर सकते हैं। पासवर्ड को एक आम के रूप में सेट करें या कोई पासवर्ड नहीं। उसे लॉग इन करें।

फिर आप लिखने की आज्ञा का उपयोग कर सकते हैं और उससे पूछ सकते हैं कि वह आपके संकट को दूर करने पर क्यों जोर देता है।

डॉन
स्रोत
(1) केवल पहुंच मार्गों को अस्पष्ट करता है, लेकिन उन्हें सुरक्षित नहीं करता है। (२) अधिकांश न्यायालयों में अवैध है। (3) जोखिम भरा है, क्योंकि गलतफहमी होती है और विशेषाधिकार वृद्धि कमजोरियां मौजूद हो सकती हैं, और शायद व्यर्थ, क्योंकि ज्यादातर हमले आईपी पते की सीमाओं पर चलने के लिए स्वचालित होते हैं, जैसा कि आप खुद बताते हैं।
डेविड फ़ॉस्टर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.