我最近在托管在 AWS EC2 上的 RHEL 8 服务器上安装了 OSSEC。从那时起,我一直在收到针对安全组中未开放端口的暴力破解尝试和其他尝试。
当这些端口未在 EC2 实例的安全组中打开时,用户如何能够访问我的服务器?我该如何阻止他们访问服务器?
示例报告:
OSSEC HIDS 通知。2020 年 10 月 18 日 20:45:33
接收自:shared->/var/log/secure 规则:5712 触发(级别 10)->“SSHD 暴力尝试访问系统。” 源 IP:46.101.209.127 部分日志:
10 月 18 日 20:45:32 共享 sshd[3097608]: 与无效用户 pi 46.101.209.127 端口 49568 断开连接 [preauth] 10 月 18 日 20:45:32 共享 sshd[3097608]: 来自 46.101.209.127 端口 49568 的无效用户 pi 10 月 18 日 20:45:12 共享 sshd[3097603]: 与无效用户 admin 46.101.209.127 端口 58720 断开连接 [preauth] 10 月 18 日 20:45:12 共享 sshd[3097603]: 来自 46.101.209.127 端口 58720 的无效用户 admin 10 月 18 日 20:44:51 共享sshd[3097591]: 与无效用户管理员 46.101.209.127 端口 39802 断开连接 [preauth] 10 月 18 日 20:44:50 共享 sshd[3097591]: 来自 46.101.209.127 端口 39802 的无效用户管理员 10 月 18 日 20:44:30 共享 sshd[3097582]: 与无效用户管理员 46.101.209.127 端口 49134 断开连接 [preauth] 10 月 18 日 20:44:30 共享 sshd[3097582]: 来自 46.101.209.127 端口 49134 的无效用户管理员
--通知结束
答案1
任何一个:
- 这安全组配置错误并实际上允许此流量,或者
- 这安全组附加到您的实例的不是您认为应该是的那个。
解决其中一个,问题就会消失。
如果您需要更多帮助,请使用您的 SG 入站规则的屏幕截图和显示 SG 名称的实例配置的屏幕截图来更新您的问题。
更新
您在日志中看到的端口是偏僻的端口从攻击者通过 22 端口连接你。
您的安全组是太开放了。 打开仅限端口 80 和 443对世界来说,所有其他端口都必须限制在你的家庭或办公室 IP 上,否则你很快就会回来问一个问题如何恢复被黑的实例。
或者,更好的方法是设置一个小型 VPN 实例,并仅通过 VPN 访问您的私有端口(mysql、ssh、ftp 等)。不过,这需要做更多的工作。
希望有帮助:)