- 全新安装 Fedora 25 Server
- 路由器后面的服务器只有少量 NAT 规则
- 来自数百个不同 IP / 端口(不断变化)的多次 SSH 登录尝试
- 最近对 nginx(在 docker 实例中运行)的攻击/漏洞也出现在日志中。
日志中的几个例子:
error: maximum authentication attempts exceeded for invalid user root from 88.14.203.97 port 56548 ssh2 [preauth]
error: Received disconnect from 52.221.236.126 port 62639:3: com.jcraft.jsch.JSchException: Auth fail [preauth]
[error] 6#6: *138 open() "/usr/share/nginx/html/nice ports,/Trinity.txt.bak" failed (2: No such file or directory), client: 77.77.211.78, server: localhost, request: "GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0"
我在安装时采取了基本的强化措施,包括只允许使用证书进行 SSH 登录(无密码、无 root)。
问题
- 攻击者如何能够到达我的 LAN 上未在 NAT 中配置的不同端口?UPnP……?
- 是否有可能阻止/停止这些盲目攻击?
附加及可能相关的信息
我使用动态 DNS 服务 freedns.afraid.org 和新注册的域名。
答案1
攻击者如何能够到达我的 LAN 上未在 NAT 中配置的不同端口?UPnP ……?
只有当您的服务器受到攻击或 UPnP 端口打开的外部连接出现时,这种情况才可能发生。创建转发规则时,您可以指定将哪个端口或端口范围转发到 LAN 端的特定 IP。您还可以将外部端口更改为具有不同值的本地端口(例如,将外部端口 3456 转发到本地端口 22)或设置一对一转发(外部 22 到内部 22)。因此,简而言之 - 只有您在防火墙上打开的端口才会转发到 LAN 上的特定 IP。
如果您将服务器设置在 DMZ 区域,则意味着您的服务器的所有端口都完全暴露在互联网上;这样,所有端口都可以用于外部连接。
另请检查此列表易受攻击的路由器;如果路由器本身被黑客入侵,那么它就不再是你的网络了。
是否有可能阻止/停止这些盲目攻击?
看看类似的问题已关注答案如何确保安全并减少此类扫描尝试。
答案2
您在日志中看到的端口是攻击者的源端口,而不是目标端口,因此这并不意味着您的系统已打开这些端口,也不意味着攻击者通过这些端口进入您的系统。
比如,假设你为ssh开放了22端口,在日志中你可以看到针对ssh服务的攻击是针对其他端口(56548)的。