Вы говорите это:
В прошлом месяце мой личный веб-сервер получил тысячи таких уведомлений.
Не паникуйте! Просто отключите rootучетную запись в системе.
Добро пожаловать в современный интернет! Не принимайте никакие из этих уведомлений лично и не принимайте их как признак целенаправленной атаки на ваш веб-сервер. Скорее, это обычная часть любого веб-сервера, существующего каким-либо образом в сети: армии ботнетов постоянно сканируют веб-серверы на наличие слабых мест, а затем иногда используют эти недостатки по разным причинам / взломам.
Если вы обеспокоены, лучшая, самая простая и легкая вещь, которую вы можете сделать, чтобы исправить эту ситуацию, - отключить rootпользователя на сервере, а затем назначить sudoправа другому пользователю в системе. Делая это, вы устраняете проблему, не устанавливая никакого дополнительного программного обеспечения.
Да, некоторые порекомендуют установить программное обеспечение, например, Fail2banна ваш сервер, и хотя я не думаю, что это плохой инструмент в арсенале онлайновой защиты, оно может дать вам ложное чувство безопасности, если вы не сделали что-то базовое, например отключение rootучетной записи пользователя. в системе.
Самый простой способ сделать это в вашей системе - это сначала назначить sudoправа любому другому пользователю системы, кроме root. И как только это будет сделано, войдите в систему как этот пользователь через SSH и выполните эту команду:
sudo passwd -l root Это эффективно заблокирует rootучетную запись пользователя. Так что пусть эти боты попытаются войти в систему rootс этого момента до бесконечности ... С rootотключенным, усилия бесполезны.
Тем не менее ... Может быть, вы должны быть обеспокоены.
Но тогда вы говорите это; Акцент мой:
Эти атаки начались с попыток
root, но с тех пор перешли к попытке учетных записей пользователей, где я не уверен, как они даже угадали правильные имена пользователей (хотя и неправильные пароли).
Не беспокойтесь, если случайно взломанные учетные записи будут взломаны, даже если несколько имен пользователей совпадают с пользователями в вашей системе.
Итак, вы говорите, что они пытаются «учетные записи пользователей», но какие пользователи? Соответствуют ли они действительным пользователям в системе? Если они не соответствуют действительным пользователям в системе, не беспокойтесь ... Даже если время от времени вы видите попытку входа в систему как tomcatили testuser. Эти боты просто перебирают десятки / сотни / тысячи имен пользователей, которые они имеют в своей библиотеке, чтобы увидеть, в какую учетную запись они могут войти ... И я бы не стал спать из-за этого.
Но если попытки «взлома» направлены против чисто определенных / известных аккаунтов? Тогда ты должен волноваться.
Но, тем не менее, если атаки каким-то образом направлены только на пользователей, которые существуют в вашей системе, то вы можете предположить, что хакеры каким-то образом получили копию вашего /etc/passwdфайла. Во-первых, несмотря на то, что история passwdэтого файла не содержит паролей пользователей, а содержит основную информацию о пользователях. И если у злоумышленников есть этот /etc/passwdфайл, то у вас НАМНОГО большая проблема .
Если определенные / известные учетные записи «взломаны», возможно, ваше веб-приложение взломано.
Обычно на веб-серверах основной компромисс заключается не в SSH или чем-то подобном, а в самом веб-приложении / сервере. То есть, если ваш сайт основан на известной системе CMS, такой как WordPress или Joomla! хакерам удалось проникнуть в вашу систему через это веб-приложение, которое затем проникло в систему на более глубоком уровне, что эквивалентно наличию SSH-доступа, но не глубокому SSH-доступу.
Это означает, что веб-серверы, работающие на программном обеспечении, таком как Apache, управляются пользователем без полномочий root www-dataили чем-то в этом роде. Компрометация вашего веб-приложения будет означать, что хакер имеет тот же уровень доступа, который имеет Apache, но не имеет ничего общего с уровнем «записи»… Но все же страшный уровень доступа на уровне «чтения».
Таким образом, вполне возможно, что веб-приложение на вашем сервере было взломано, полезная нагрузка была сброшена на ваш сервер на уровне пользователей Apache, и они каким-то образом получили /etc/passwdфайл через этот скомпрометированный доступ. И теперь они пытаются получить доступ через имена пользователей в этом /etc/passwdфайле.
Что делать, если ваше веб-приложение было взломано.
Так ты должен бояться? Если это так, то да. Но Fail2banне спасу тебя сейчас. Отключение rootвсе еще может спасти вас до некоторой степени. Но если ваше веб-приложение скомпрометировано, оно должно быть очищено. Попытки SSH просто взламывают «соус» поверх сервера, который уже чем-то заражен.
Как очистить ваше веб-приложение? Простого ответа нет, но если вы используете WordPress, например, рассмотрите возможность переустановки WordPress, а затем переустановите настройки своего сайта с помощью резервных копий.
И да ... В таком духе, поэтому резервное копирование и управление восстановлением кода имеют большое значение. Но никто здесь не может объяснить, как вы должны подходить к этому на данный момент. Это совсем другой вопрос, и в зависимости от того, как вы используете cPanel, может потребоваться дополнительная помощь от стороннего специалиста. Но должен упомянуть об этом.