新租用的服务器,充斥着 root 登录尝试

tag-icon tag-icon debian ossec
新租用的服务器,充斥着 root 登录尝试

您好,我刚刚在 hetzner.de 租用了一台服务器,并决定按照 linode 上的教程来保护我的服务器!

我刚刚完成 OSSEC 的设置然后马上就收到垃圾邮件:

    OSSEC HIDS Notification.
2016 Apr 04 17:33:10

Received From: Debian-83-jessie-64-LAMP->/var/log/auth.log
Rule: 5720 fired (level 10) -> "Multiple SSHD authentication failures."
Portion of the log(s):

Apr  4 17:33:08 Debian-83-jessie-64-LAMP sshd[16267]: Failed password for root from 81.246.42.242 port 48275 ssh2
Apr  4 17:33:07 Debian-83-jessie-64-LAMP sshd[16267]: Failed password for root from 81.246.42.242 port 48275 ssh2
Apr  4 17:32:27 Debian-83-jessie-64-LAMP sshd[16261]: Failed password for root from 81.246.42.242 port 50924 ssh2
Apr  4 17:32:25 Debian-83-jessie-64-LAMP sshd[16261]: Failed password for root from 81.246.42.242 port 50924 ssh2
Apr  4 17:32:23 Debian-83-jessie-64-LAMP sshd[16261]: Failed password for root from 81.246.42.242 port 50924 ssh2
Apr  4 17:31:42 Debian-83-jessie-64-LAMP sshd[16226]: Failed password for root from 81.246.42.242 port 43742 ssh2
Apr  4 17:31:40 Debian-83-jessie-64-LAMP sshd[16226]: Failed password for root from 81.246.42.242 port 43742 ssh2
Apr  4 17:31:38 Debian-83-jessie-64-LAMP sshd[16226]: Failed password for root from 81.246.42.242 port 43742 ssh2



--END OF NOTIFICATION

OSSEC HIDS Notification.
2016 Apr 04 17:44:09

Received From: Debian-83-jessie-64-LAMP->/var/log/auth.log
Rule: 2502 fired (level 10) -> "User missed the password more than one time"
Portion of the log(s):

Apr  4 17:44:08 Debian-83-jessie-64-LAMP sshd[17133]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=242.42-246-81.adsl-static.isp.belgacom.be  user=root



--END OF NOTIFICATION

我是服务器新手,所以不确定该怎么办?这是 belgacom.be 上的随机机器人试图破解我的密码吗?我应该把 IP 列入黑名单吗?

答案1

将 IP 列入黑名单并不能解决您的问题,稍后您将会以同样的方式受到另一个 IP 的攻击。

81.246.42.242 来自比利时(已通过 ip2location 验证)。解决此问题的方法是阻止所有 IP,只允许访问您的 IP 或子网。但是,我建议使用 SSH 密钥并禁用 root ssh 登录。

了解更多信息; 防火墙设置 ssh 密钥设置

答案2

ssh 的这些事件/日志无处不在。有些人说“更改端口”,但正如您所见,他们会扫描您的所有端口,正如您从日志中看到的那样,因此,恕我直言,通过隐蔽性实现的安全性(将端口 22 更改为 ssh)对安全性的提升微乎其微,而且可能会也可能不会使日志安静下来。

您需要保护您的 ssh 服务器。我个人使用密钥并禁用密码、无密码的 root 登录以及 iptables 中的一些规则。

我建议你看看

如何强化 SSH 服务器?

https://help.ubuntu.com/community/SSH/OpenSSH/Configuring

http://bodhizazen.com/Tutorials/SSH_security

答案3

IT 安全的第一条规则是,你会遇到试图攻击任何面向网络的东西的人。

端口 22 是端口扫描器和类似服务破坏攻击的常见目标。对于 SSH,在不同端口上运行有助于稍微缓解这种情况;将防火墙设置为过滤 SSH 端口,以便只有您信任的 IP 才能访问 SSH 是一种更有效的系统。

任何面向互联网的东西都经常出现这种情况。您可能只是众多尝试多次 root 登录的人之一。是时候通过更改端口来锁定它,然后在防火墙中限制您允许连接到 SSH 端口的 IP。

相关内容