Систематические атаки на несколько сервисов и портов (переходя NAT) на хобби-сервер

2727
Ruben Solvang
  • Свежая установка Fedora 25 Server
  • Сервер за роутером только с несколькими NAT-правилами
  • Множество попыток входа в SSH с сотен разных IP / портов (постоянно меняющихся)
  • Недавние атаки / эксплойты на nginx (работающем в экземпляре Docker) также отображаются в журнале.

Несколько примеров из журнала:

error: maximum authentication attempts exceeded for invalid user root from 88.14.203.97 port 56548 ssh2 [preauth]  error: Received disconnect from 52.221.236.126 port 62639:3: com.jcraft.jsch.JSchException: Auth fail [preauth]  [error] 6#6: *138 open() "/usr/share/nginx/html/nice ports,/Trinity.txt.bak" failed (2: No such file or directory), client: 77.77.211.78, server: localhost, request: "GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0"

При установке я прошел через основные меры защиты, включая только вход в SSH с сертификатом (без паролей и без рута).

Вопросы

  • Как злоумышленники могут получить доступ к различным портам в моей локальной сети, не настроенным в NAT? UPnP ...?
  • Можно ли заблокировать / остановить эти слепые атаки?

Дополнительная и, возможно, актуальная информация

Я использую сервис Dynamic DNS freedns.afraid.org с новым зарегистрированным доменным именем.

1
Вы должны реализовать fail2ban на своем сервере: http://www.fail2ban.org/wiki/index.php/Main_Page Zumo de Vidrio 7 лет назад 0
Это одна из мер, которые я планирую осуществить. Мой главный вопрос: как атаки преодолевают правила NAT, определенные в моем маршрутизаторе? Или это тривиальная вещь? Ruben Solvang 7 лет назад 0

2 ответа на вопрос

3
Alex

How can the attackers reach different ports on my LAN, not configured in NAT? UPnP …?

That is possible only if your server was compromised or external connections come over opened by UPnP ports. When you create forwarding rules, you may specify what port or range of ports will be forwarded to particular IP resided on the LAN side. You can also change (substitute) external port(s) to local ones with different values (external port 3456 forward to local port 22, for example) or set one-to-one forwarding (external 22 to internal 22). So the short answer – only the ports you opened on the firewall will be forwarded to particular IP on LAN.

If you set your server in DMZ zone that it means your server is fully exposed to the Internet with all ports; this way all ports are available for external connections.

Check also this list of vulnerable routers; if router itself was hacked, then it isn't your network anymore.

Is it possible to block / stop these blind attacks?

Take a look to the similar question and followed answer how to secure and reduce such scanning attempts.

@ G-Man Спасибо за ваше исправление, английский не мой родной язык, поэтому моя грамматика не очень хорошая :( Alex 7 лет назад 0
1
Zumo de Vidrio

Порты, которые вы видите в журналах, являются исходными портами атакующего, а не целевыми, поэтому это не означает, что эти порты открыты в вашей системе, и злоумышленник не достигает вашей системы через них.

Например, предположив, что вы открыли порт 22 для ssh, в журналах вы можете увидеть, что атаки для службы ssh идут для другого порта (56548).

Спасибо, это полезная информация. Тогда я думаю, это поможет изменить порт SSH? Ruben Solvang 7 лет назад 0
Не рекомендуется использовать порты по умолчанию, но это не исключает возможности продолжения попыток атаки на ваш сервер. Вы должны применить какой-то IP-фильтр к входящим публичным ssh-соединениям (или установить fail2ban как можно скорее). Zumo de Vidrio 7 лет назад 0

Похожие вопросы