Ubuntu 服务器遭受攻击?如何解决?

tag-icon tag-icon security ubuntu hacking malware udp
Ubuntu 服务器遭受攻击?如何解决?

某个东西(某人)正在从我们的整个 IP 范围发送 UDP 数据包。这似乎是多播 DNS。

我们的服务器主机提供了此信息(我们的 IP 地址用 XX 屏蔽):

Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53
Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT=
MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX
DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353
DPT=5353 LEN=53

我检查了我的 /var/log/auth.log 文件,发现有人来自中国(使用 ip-locator)正尝试使用 ssh 进入服务器。

...
Jun  3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2
Jun  3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25  user=root
Jun  3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2
Jun  3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25  user=root
...

我已使用此命令阻止了该 IP 地址:sudo iptables -A INPUT -s 202.100.108.25 -j DROP

但是,我对 UDP 多播一无所知,这是什么?谁在做这件事?我该如何阻止它?

有人知道吗?

答案1

坦白说,何必呢?大多数服务器每天都会受到数百次扫描和登录尝试。手动阻止所有这些尝试根本是不可能的。

您的防火墙似乎正在发挥作用。毕竟它阻止了不需要的流量。

确保不运行任何不需要的服务。可用的服务越少,入侵的可能性就越小。

确保 SSH 安全:确保将 SSH 配置为拒绝 root 登录。验证所有 SSH 帐户的密码是否安全。拒绝主机将在几次登录尝试失败后自动阻止 IP(非常有用),但请确保将自己的 IP 范围列入白名单,否则您将面临被锁定的风险。在不同的端口上运行 SSH 也非常有效,因为大多数攻击只会尝试端口 22。

我只会在它影响到您的服务或带宽时才采取行动。检查流量来源网络块所有者的 whois,并向所有者的滥用地址提供清晰友好的投诉。如果他们没有在合理的时间内回复,请咨询他们的 ISP 等。

答案2

您无法阻止第三方欺骗您的 IP 地址 - 这就像使用发件人地址发送垃圾邮件一样。您所能做的一切可能已经通过您机器前面的 ISP 文件墙完成了。

不过,您可以更轻松地阻止 ssh 登录尝试。拒绝主机(我在所有服务器上都使用它),或者类似的失败2ban(不仅仅是 SSH)扫描日志文件,在“过多”尝试登录后,将阻止 IP 地址(我通常只是按照 DenyHosts 的做法,将 IP 地址添加到 /etc/hosts.deny)

答案3

UDP 很容易伪造源地址,数据包可能来自任何地方。有人可能会伪造数据包到您的广播地址。过滤端口 5353 的传入和传出,多播 DNS 应该是本地的。过滤防火墙上的广播地址。过滤到目标地址的传出流量,确保您不是发送流量的人。

这看起来与去年在 DNS 上发生的放大攻击非常相似。这些攻击是通过伪造源地址完成的。如果是这样的话,你就是真正的目标。

相关内容