Попытки взлома виртуальной машины Linux в Azure

688
Chico3001

У меня очень странная ситуация. Я только что создал новую виртуальную машину, она работает всего 30 минут, и я вижу странную активность в auth.log:

Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2 Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2] Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11: [preauth] Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth] Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2 Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2 Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2 Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2 Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2 Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2 Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11: [preauth] Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth] Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11: [preauth] Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth] Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11 Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root

Я только сделал обновление / обновление до виртуальной машины и добавил нового admпользователя. Как я могу атаковать так быстро?

2

4 ответа на вопрос

3
mt025

Это обычная вещь. «Хакеры» будут использовать список лазурных IP-адресов и будут пытаться перехватить SSH, чтобы получить доступ к вашему серверу. Как показывает журнал выше, были сделаны только сбои. Скорее всего, ваш IP не назначен другой виртуальной машине Azure.

Эта проблема возникает почти у каждого сервера, который я настроил в сети. Есть два действия, которые я рекомендую вам сделать.

  1. Измените ваш SSH-порт на что-то другое, это значительно снизит ваши шансы на атаку.

  2. Установите fail2ban . Это позволит вам заблокировать IP-адреса на определенный период времени или навсегда, когда будет выполнено x количество аутентификаций.

Также использование только ключа SSH повышает безопасность еще больше.

К счастью, это всего лишь тестовая машина, так что это не критично, но благодаря этому я теперь знаю, что безопасности никогда не бывает достаточно .... отныне я буду следовать вашим рекомендациям на каждом виртуальном компьютере, спасибо ... Chico3001 7 лет назад 0
При изменении порта SSH не забудьте закрыть 22 на брандмауэре и открыть новый порт (целые числа от 1024 до 65535). Наличие брандмауэра всегда важно! iptables - это то, что я использую. mt025 7 лет назад 0
+1 для fail2ban Trevor Sullivan 5 лет назад 0
0
Frank Thomas

Вас еще не взломали, но кто-то пытается войти.

Вы должны реализовать Fail2Ban для временной блокировки IP-адресов после заданного количества неудачных попыток входа в систему.

В вашей ситуации нет ничего, что могло бы придать смысл «новой виртуальной машине или обычному пользователю». Атака направлена ​​на rootучетную запись, и виртуальная машина использует IP-адрес, который существовал до ее назначения виртуальной машине. Кто-то выполнил сканирование порта, заметил, что порт активирован, а затем попытался выполнить атаку распределенным перебором. Вполне вероятно, что у бывшего правопреемника IP-адреса также были службы SSH, поэтому вы можете столкнуться с атакой, которая уже проводилась против предыдущего правопреемника. нет никакого способа, которым мы можем сказать.

0
K. Mitko

Это довольно распространенная ситуация и, к сожалению, будет происходить постоянно. Эти попытки - просто боты, проверяющие целые классы IP-адресов случайным образом, и ваши попытки всплыли через 30 минут после развертывания виртуальной машины. Я предлагаю установить fail2ban, если это вас беспокоит.

0
Scott Stensland

Когда вы законно входите в систему на своем удаленном хосте, вы должны использовать ssh-ключи, чтобы избежать использования пароля ... если это так, то отключите разрешение на ввод пароля на этом удаленном хосте ... на удаленном хосте edit

vi /etc/ssh/sshd_config  # Change to no to disable tunnelled clear text passwords #PasswordAuthentication yes PasswordAuthentication no

затем, пока на удаленном хосте отказов его демон ssh, выполнив:

sudo service sshd restart

(и нет, это не убьет ваш сеанс входа в систему ssh, если вы не вошли в систему, используя пароль)

Это изменение будет препятствовать всем попыткам входа в систему, которые используют пароль, и поэтому эти сообщения будут остановлены.

Failed password for root from 182.100.67.173 port 41144 ssh2

Похожие вопросы