Pytanie:
Czy doświadczam ataku brutalnej siły?
syldor
2016-01-15 16:13:51 UTC
view on stackexchange narkive permalink

Podczas sprawdzania dziennika uwierzytelniania serwera za pomocą polecenia: 

  grep sshd. \ * Failed /var/log/auth.log | mniej

Widzę tysiące takich wierszy: 

  12 stycznia 11:27:10 ubuntu-leno1 sshd [8423]: Nieudane hasło dla nieprawidłowego użytkownika administratorzy z portu 172.25.1.1 44216 ssh2 12 stycznia 11:27:13 ubuntu-leno1 sshd [8425]: Niepowodzenie hasła dla nieprawidłowego użytkownika phoenix z portu 172.25.1.1 20532 ssh2 12 stycznia 11:27:17 ubuntu-leno1 sshd [8428] : Błędne hasło dla nieprawidłowego prosięcia użytkownika z portu 172.25.1.1 24492 ssh2 12 stycznia 11:27:22 ubuntu-leno1 sshd [8430]: Nieudane hasło dla nieprawidłowego użytkownika tęczowego z portu 172.25.1.1 46591 ssh2 12 stycznia 11:27:25 ubuntu -leno1 sshd [8432]: Błędne hasło dla nieprawidłowego użytkownika runner z portu 172.25.1.1 57129 ssh2 12 stycznia 11:27:34 ubuntu-leno1 sshd [8434]: Nieudane hasło dla nieprawidłowego użytkownika sam z portu 172.25.1.1 11960 ssh2 12 stycznia 11:27:37 ubuntu-leno1 sshd [8437]: Błędne hasło dla nieprawidłowego użytkownika abc123 z portu 172.25.1.1 5921 ssh2 12 stycznia 11:27:40 ubuntu-leno1 sshd [8439]: Niepowodzenie hasła dla nieprawidłowego hasła użytkownika z 172.25. 1.1 port 21208 ssh2 12 stycznia 11:27:43 ubuntu-leno1 sshd [8441]: Nieudane hasło dla nieprawidłowego użytkownika newpass z portu 172.25.1.1 65416 ssh2 12 stycznia 11:27:46 ubuntu-leno1 sshd [8445]: Nieudane hasło dla nieprawidłowego nowego hasła użytkownika z 172.25.1.1 port 26332 ssh2 12 stycznia 11:27:49 ubuntu-leno1 sshd [8447]: Nieudane hasło dla nieprawidłowego użytkownika nieużywane z portu 172.25.1.1 ssh2 12 stycznia 11:27:52 ubuntu-leno1 sshd [8449]: Niepowodzenie hasło dla nieprawidłowego użytkownika Hockey od 172.25.1.1 port 14949 ssh2 12 stycznia 11:27:56 ubuntu-leno1 sshd [8451]: Nieudane hasło dla nieprawidłowego użytkownika internet od 172.25.1.1 port 35105 ssh2 12 stycznia 11:27:59 ubuntu-leno1 sshd [8453]: Błędne hasło dla nieprawidłowego użytkownika dupka z portu 172.25.1.1 7916 ssh2 12 stycznia 11:28:02 ubuntu-leno1 sshd [8456]: Niepowodzenie hasła dla nieprawidłowego użytkownika Maddock z portu 172.25.1.1 26431 ssh2
12 stycznia 11:28:05 ubuntu-leno1 sshd [8458]: Niepowodzenie hasła dla nieprawidłowego użytkownika Maddock z portu 172.25.1.1 53406 ssh2 12 stycznia 11:28:09 ubuntu-leno1 sshd [8460]: Niepowodzenie hasła dla nieprawidłowego komputera użytkownika z 172.25.1.1 port 23350 ssh2 12 stycznia 11:28:15 ubuntu-leno1 sshd [8462]: Błędne hasło dla nieprawidłowego użytkownika Mickey z portu 172.25.1.1 37232 ssh2 12 stycznia 11:28:19 ubuntu-leno1 sshd [8465]: Niepowodzenie hasło dla nieprawidłowego użytkownika qwerty z portu 172.25.1.1 16474 ssh2 12 stycznia 11:28:22 ubuntu-leno1 sshd [8467]: Błędne hasło z powodu nieprawidłowego użytkownika fiction z portu 172.25.1.1 29600 ssh2 12 stycznia 11:28:26 ubuntu-leno1 sshd [8469]: Błędne hasło dla nieprawidłowego użytkownika pomarańczowy z portu 172.25.1.1 44845 ssh2 12 stycznia 11:28:30 ubuntu-leno1 sshd [8471]: Niepowodzenie hasła dla nieprawidłowego użytkownika tigger z portu 172.25.1.1 12038 ssh2 12 stycznia 11: 28:33 ubuntu-leno1 sshd [8474]: Nieudane hasło w przypadku nieprawidłowego przemieszczania się użytkownika z portu 172.25.1.1 49099 ssh2 12 stycznia 11:28:36 ubuntu-leno1 sshd [8476]: Nieudane hasło dla inval id użytkownik mustang z portu 172.25.1.1 29364 ssh2 12 stycznia 11:28:39 ubuntu-leno1 sshd [8478]: nieudane hasło dla nieprawidłowego użytkownika admin z portu 172.25.1.1 23734 ssh2 12 stycznia 11:28:42 ubuntu-leno1 sshd [ 8480]: Błędne hasło dla nieprawidłowego użytkownika jennifer z portu 172.25.1.1 15409 ssh2 12 stycznia 11:28:46 ubuntu-leno1 sshd [8483]: Niepowodzenie hasła dla nieprawidłowego użytkownika admin z portu 172.25.1.1 40680 ssh2 12 stycznia 11:28: 48 ubuntu-leno1 sshd [8485]: Nieudane hasło za nieprawidłowe pieniądze użytkownika z portu 172.25.1.1 27060 ssh2 12 stycznia 11:28:52 ubuntu-leno1 sshd [8487]: Nieudane hasło dla nieprawidłowego użytkownika Justin z portu 172.25.1.1 17696 ssh2 12 stycznia 11:28:55 ubuntu-leno1 sshd [8489]: Błędne hasło dla nieprawidłowego użytkownika admin z portu 172.25.1.1 50546 ssh2 12 stycznia 11:28:58 ubuntu-leno1 sshd [8491]: Nieudane hasło dla roota z 172.25. 1.1 port 43559 ssh2 12 stycznia 11:29:01 ubuntu-leno1 sshd [8494]: nieudane hasło dla nieprawidłowego administratora użytkownika z 172.25.1.1 port 11206 ssh2
12 stycznia 11:29:04 ubuntu-leno1 sshd [8496]: Nieudane hasło dla nieprawidłowego użytkownika chris z portu 172.25.1.1 63459 ssh2 12 stycznia 11:29:08 ubuntu-leno1 sshd [8498]: Niepowodzenie hasła dla nieprawidłowego użytkownika david z 172.25.1.1 port 52512 ssh2 12 stycznia 11:29:11 ubuntu-leno1 sshd [8500]: Nieudane hasło dla nieprawidłowego modułu foobar użytkownika z portu 172.25.1.1 35772 ssh2 12 stycznia 11:29:14 ubuntu-leno1 sshd [8502]: Niepowodzenie hasło dla nieprawidłowego użytkownika buster z portu 172.25.1.1 18745 ssh2 12 stycznia 11:29:17 ubuntu-leno1 sshd [8505]: Błąd hasła dla nieprawidłowego użytkownika harley z portu 172.25.1.1 38893 ssh2 12 stycznia 11:29:20 ubuntu-leno1 sshd [8507]: Błędne hasło dla nieprawidłowego użytkownika jordan z portu 172.25.1.1 64367 ssh2 12 stycznia 11:29:24 ubuntu-leno1 sshd [8509]: Nieudane hasło dla nieprawidłowego użytkownika głupiego z portu 172.25.1.1 27740 ssh2 12 stycznia 11: 29:27 ubuntu-leno1 sshd [8511]: Nieudane hasło dla nieprawidłowego użytkownika Apple z portu 172.25.1.1 22873 ssh2 12 stycznia 11:29:30 ubuntu-leno1 sshd [8514]: Nieudane hasło dla nieprawidłowego użytkownika f czerwony od 172.25.1.1 port 54420 ssh2 12 stycznia 11:29:33 ubuntu-leno1 sshd [8516]: Nieudane hasło dla nieprawidłowego administratora użytkownika z portu 172.25.1.1 58507 ssh2 12 stycznia 11:29:42 ubuntu-leno1 sshd [8518] : Błędne hasło dla nieprawidłowego użytkownika latem od 172.25.1.1 port 48271 ssh2 12 stycznia 11:29:45 ubuntu-leno1 sshd [8520]: Błędne hasło dla nieprawidłowego użytkownika sunshine od 172.25.1.1 port 5645 ssh2 12 stycznia 11:29:53 ubuntu -leno1 sshd [8523]: Nieudane hasło dla nieprawidłowego użytkownika andrew z portu 172.25.1.1 44522 ssh2

Wygląda na to, że mam atak brute force ssh. Czy jest to częste zdarzenie, czy jestem specjalnie celem? Co mam teraz zrobić? Czy powinienem uznać atak za udany i podjąć kroki?

----- Edycja -------

Wyjaśniono, że atak pochodzi z wewnętrznego adresu IP przez ten serwer, który ma przekierowanie ssh z zewnątrz. Stało się to naprawdę szybko po otwarciu portu, czy każdy publiczny adres IP jest skanowany na wolności w poszukiwaniu istniejącego serwera?

172.25.1.1 jest moim zdaniem w zakresie prywatnych adresów IP (np. Nie można routować przez Internet), więc najprawdopodobniej jest to ktoś w pobliżu lub maszyna w pobliżu.
Komentarze nie służą do rozszerzonej dyskusji; ta rozmowa została [przeniesiona do czatu] (http://chat.stackexchange.com/rooms/34508/discussion-on-question-by-syldor-am-i-experiencing-a-brute-force-attack).
Osiem odpowiedzi:
TheJulyPlot
2016-01-15 16:26:34 UTC
view on stackexchange narkive permalink

Tak, wygląda na to, że doświadczasz ataku brutalnej siły. Atakujący znajduje się na adresie prywatnym klasy B, więc prawdopodobnie jest to osoba mająca dostęp do sieci organizacji, która przeprowadza atak. Z nazw użytkowników wygląda na to, że są one uruchomione przez słownik typowych nazw użytkowników.

Spójrz na „Jak zatrzymać / zapobiegać brutalności SSH” (Błąd serwera) i „Zapobieganie brutalnym atakom SSH” (Rimu Hosting) o tym, jak podjąć środki w celu ograniczenia części ryzyka związanego z brutalnymi atakami SSH.

Przypomina mi [to] (https://xkcd.com/742/) :)
w międzyczasie do OP zaktualizuj swoje hasła. Wyłącz PermitRootLogin, jeśli tego nie potrzebujesz. Jeszcze lepiej, wyłącz logowanie oparte na hasłach (tj. Tylko logowanie za pomocą klucza RSA).
Kiedy jesteśmy niezależni, używaliśmy map lokalizacji ataków w dni firmy @matt. 98% wszystkich ataków pochodziło z Paryża, lokalizacji naszego drugiego biura ...
Jakie jest prawdopodobieństwo, że sieć została przejęta (np. Wirus na komputerze użytkownika), a nie rzeczywista osoba w organizacji?
@jpmc26 Jest * możliwe *, że inna maszyna została przejęta i osoba atakująca może próbować przejść przez sieć. Wirus * mógł * uczestniczyć w każdym możliwym kompromisie. Jest to jednak tylko przypuszczenie i pozostaje jednym z wielu potencjalnych wyjaśnień.
Wiele informacji do przejrzenia! To będzie zabawny poniedziałek, jak na moje zwykłe programowanie.
@syldor koniecznie pokaż im komiks xkcd i zobacz, czy ktoś napotka grymasy.
Osoba atakująca nie znajduje się pod adresem prywatnym klasy B.Port jest przekierowywany przez zaporę i jako takie dzienniki mają wewnętrzny adres zapory.Nie jest to idealna konfiguracja.
16b7195abb140a3929bbc322d1c6f1
2016-01-15 16:26:39 UTC
view on stackexchange narkive permalink

Tak, wygląda to dokładnie jak atak brutalnej siły i po wygooglowaniu admins phoenix piglet rainbow wygląda na to, że jest to lista słów, której używa atakujący: https://github.com / hydrogen18 / kojoney / blob / master / fake_users
Sprawdź linię 116 i dalej. Lista słów jest używana dokładnie w tej samej kolejności.
Wygląda na to, że jest to ogólna lista słów, ponieważ występuje również w innych witrynach. na przykład http://src.gnu-darwin.org/ports/net/kojoney/work/kojoney/fake_users

@TheJulyPlot dostarczył dobrych informacji o tym, co zrobić, aby złagodzić ten atak.

Oba podane przez Ciebie łącza prowadzą do tego samego oprogramowania, więc oczywiście są to ta sama lista słów.
Dlatego powiedziałem: „Wygląda na to, że jest to ogólna lista słów, obecna również w innych witrynach”.
Rui F Ribeiro
2016-01-16 18:43:51 UTC
view on stackexchange narkive permalink

Dodano krótką notatkę na temat fail2ban , o czym wspominało wiele osób: front-end to korporacyjna zapora ogniowa, zaplecze widzi tylko przekierowanie / proxy / adres wewnętrzny z firewalla.

Więc nie, 172.25.1.1 nie jest zhakowaną maszyną wewnętrzną (i zarówno komentarz w odpowiedzi, jak i inna odpowiedź tutaj stwierdzająca, że ​​jest to maszyna wewnętrzna mylą się podczas komentowania tego). Jest to jeden z wewnętrznych adresów IP firewalla.

Fail2ban w zapleczu blokowałby tylko możliwość używania SSH do rozciągania na raz, ponieważ widzi tylko nieudane próby z 172.25.1.1. Więc proszę, przeczytaj moją odpowiedź.

Nie ma wątpliwości, jak wspominają inne posty, jest boleśnie oczywiste, że jesteś pod brutalnym atakiem.

Jednak to wcale nie znaczy, że jesteś w jakikolwiek sposób narażony na szwank z dzienników, które nam pokazałeś. Niestety, obecnie ataki ssh brute force są zbyt powszechne. W większości przypadków są one naprawdę zautomatyzowane i niekoniecznie jesteś celem.

Jako anegdotyczne ostrzeżenie kilka lat temu pierwszego dnia, w którym skonfigurowałem nowe serwery u dostawcy usług internetowych, ssh jeden otwarty do Internetu w ciągu jednej nocy otrzymało ponad 200 tysięcy sond skanujących ssh.

Jeśli chodzi o „wewnętrzny adres IP”, albo używasz SNAT, albo w najlepszym przypadku przekierowania proxy 22 / TCP, a źródłowe adresy internetowe nie pokazuj (co nie jest najlepszą praktyką) lub w najgorszym przypadku twój router / modem kablowy jest zagrożony.

Jeśli naprawdę masz konfigurację SNAT / proxy SSH, radzę ci to przemyśleć . Chcesz logów prawdziwych adresów IP, a nie twojej sieci.

Jeśli chodzi o środki, polecam kilka:

  1. Nie zezwalaj na hasła w SSH; tylko loginy przy użyciu certyfikatów RSA;
  2. Nie otwieraj ssh na zewnątrz; ogranicz je do swojej sieci wewnętrznej;
  3. Aby uzyskać dostęp z zewnątrz, dostęp przez VPN; nie ujawniaj SSH w całym Internecie;
  4. ograniczające prędkość sieci SYN z zewnątrz.

Jeśli absolutnie nalegasz, aby nadal mieć otwarty Internet SSH na zewnątrz, pamiętaj, że zmiana domyślnego portu SSH daje tylko fałszywe poczucie bezpieczeństwa, a tymczasowe blokowanie adresów IP spowalnia atak tylko tak często, o czym mówimy skoordynowane farmy maszyn zombie.

Możesz rzucić okiem na fail2ban , jeśli zmienisz konfigurację, aby otrzymywać bezpośrednio publiczne adresy IP łączące się z tobą; jednak weź pod uwagę, że jeśli rzeczywiście jakikolwiek zewnętrzny adres IP nadejdzie z adresem IP twojej bramy, skutecznie blokujesz cały zewnętrzny dostęp SSH przy jego użyciu.

Istnieją również inne zastrzeżenia; proszę zauważyć, że obecnie zombie / złośliwe oprogramowanie biorą pod uwagę fail2ban i powracają po domyślnym czasie lub na zmianę z różnymi adresami IP. (Widziałem, jak to się dzieje). Nawet jeśli używasz obowiązkowego uwierzytelniania za pomocą certyfikatu RSA, ataki na hasło będą nadal rejestrowane i spowodują spalenie cykli we / wy, miejsca na dysku i procesora.

Jeśli chodzi o VPN, nie potrzebujesz dedykowanego sprzętu; konfiguracja VPN na serwerze Linux lub FreeBSD jest trywialna.

Jeśli nie czujesz się komfortowo konfigurując ją od zera, polecam maszynę wirtualną z pfSense. dla FreeBSD ; strongSwan do konfiguracji VPN na serwerze Linux.

Jeśli twój serwer frontonu to Linux, inną alternatywą jest pukanie portów. Jednak ze względu na jego nieodłączne działanie polecam go tylko do zastosowań domowych. Jak słusznie wskazał @GroundZero, „pukanie do portów jest zabezpieczeniem przez zaciemnienie, a osoba atakująca może aktywnie monitorować ruch sieciowy w celu wykrycia sekwencji pukania”.

Jak to zrobić Użyj funkcji Port Knocking, aby ukryć demona SSH przed atakującymi w systemie Ubuntu

Jako dodatkowy środek możesz również ograniczyć szybkość za pomocą reguł SYN firewalla / iptables w porcie 22. W ten sposób nie będziesz ograniczać swoich legalnych połączeń i albo iptables w Linuksie, albo większość komercyjnych zapór na to pozwala konfiguracja. Widziałem paskudne sztuczki, gdy boty atakowały niektóre demony tak szybko, jak to możliwe, zanim zaczną obowiązywać zasady bezpieczeństwa. Jednak wierzę, że faktycznie ssh ma wbudowaną ochronę przed tym.

Odpowiadając na temat szalejącego skanowania, tak naprawdę. Masz wielu złych aktorów, sieci zombie i złośliwe oprogramowanie, które stale skanują przestrzeń adresową IP, aby znaleźć serwery z zainfekowanymi wersjami sshd, podatnymi / starymi wersjami sshd, serwerami z domyślnymi / złymi hasłami / znanymi backdoorami i po prostu serwery z openssh do zdobycia przyczółek w nieuprzywilejowanym użytkowniku za pomocą brutalnej siły lub podwójnych ataków poprzez phishing.

Po trzech udanych atakach phishingowych (w osobnych zdarzeniach) na moim hoście bastionu w mojej obecnej pracy, zdecydowałem się zrobić podwójna konfiguracja ssh, w której wszyscy użytkownicy są proszeni o certyfikat RSA w sshd_config , a tylko sieć wewnętrzna umożliwia uwierzytelnianie hasłem, dodając na końcu pliku konfiguracyjnego jako takie: 

  # konfiguracja sshd zezwalająca tylko na certyfikaty RSAMatch Address 10.0.0.0/8,172.16.0.0/12,192.168.0.0/24PasswordAuthentication tak

Kolejna anegdota przerażająca opowieść, zanim zmieniłem na obowiązkowe certyfikaty RSA , jeden z ataków phishingowych miał miejsce w t Dokładnie w tygodniu były dwie aktualizacje jądra pod kątem luk, które umożliwiły eskalację uprawnień do roota, a gdybym nie zaktualizował na miejscu, zostałbym przejęty przez roota. (i jeśli moja pamięć mnie nie zawodzi, to było około 4 lipca ... hakerzy uwielbiają zapisywać te paskudne ataki na święta)

Jeśli chodzi o wykresy rzeczywistych ataków na żywo w czasie rzeczywistym, spojrzenie na:

Aby zakończyć odpowiedź:

Nie, prawdopodobnie nie zostałeś w żaden sposób zagrożony.

Tak, musisz podjąć kroki w celu zwiększenia poziomu bezpieczeństwa. Radziłbym tunel / klient VPN z zewnątrz do firmowego serwera VPN. To właśnie robię.

Mam również ostatnią i ważną radę: aby upewnić się, że zwykłe konto nie jest zagrożone, sprawdź swój /var/log/auth.log dzienniki uwierzytelniania dla pomyślnego uwierzytelnienia. Istnieją sposoby na zalogowanie się do openssh przy użyciu dowolnego konta bez rejestracji w / var / log / wtmp iw konsekwencji nie pojawienia się w poleceniu last .

Jest rzeczą oczywistą, że jeśli zwykłe konto zostanie przejęte na starym komputerze bez aktualizacji, wszystkie zakłady są wyłączone. A w niefortunnym przypadku eskalacji uprawnień do roota, nawet dzienniki mogą zostać naruszone.

Świetna odpowiedź, mam przekierowanie ssh, a Twoja anegdota pokazuje, że takie rzeczy dzieją się niezwykle szybko po otwarciu na zewnątrz.
Przepraszam za błędy w języku angielskim, ponieważ nie jest to mój język ojczysty. Zabroniłem wszystkim operatorom Uniksa używania haseł, a serwer używany przez profesorów do logowania z zewnątrz ma konfigurację SSH jako taką, która umożliwia logowanie i hasło z sieci wewnętrznej, ale wymusza certyfikaty RSA z Internetu. Możesz dotrzeć do mojej sieci wewnętrznej w domu tylko przez VPN + dynamiczny DNS i dopiero po uwierzytelnieniu przez VPN masz SSH + HTTP + DNS + voIP
(i skonfigurowałem moją sieć VPN do natywnego używania przez OS / X i iPhone'a. Bardzo wygodne)
syldor, czy jesteś modemem kablowym, serwerem linux, czy za firmową zaporą ogniową (ponieważ 172.x.x.x nie są tak powszechne w ustawieniach domowych)
Dziś w pracy i dodałem kilka bardzo * istotnych * fragmentów do twojej odpowiedzi.
Czy przez dzienniki uwierzytelniania rozumiecie /var/log/auth.log? Tam znalazłem logi, nie wiedziałem o wtmp :)
I to jest serwer Linux za firmową zaporą ogniową, tak.
wtmp to plik binarny, w którym komenda `last` pije - jest domyślnie zmieniana co miesiąc; i tak, auth.log. Tylko jeśli znajdziesz tam udane uwierzytelnienie, oznacza to, że zostałeś naruszony.
(Zaktualizowałem również odpowiedź o reguły zapory sieciowej, jeszcze zanim potwierdzisz, że jest to zapora korporacyjna). Miłego tygodnia.
Wracając… o firewallu będącym kanałem ssh… Zawsze stanowczo sprzeciwiam się firewallowi, który ma aktywną / otwartą jakąkolwiek usługę. To jest wektor ataku. Firewall powinien tylko przekazywać pakiety, a nawet nie odpowiadać na pingi. Przy okazji dziękujemy za wybranie odpowiedzi.
Zwróć uwagę, że pukanie do portów jest również formą zaciemniania i tak naprawdę nie zwiększa bezpieczeństwa. Jednak zatrzyma większość automatycznych botów i (w większości przypadków) będzie wymagać od atakującego aktywnego monitorowania ruchu sieciowego w celu wykrycia sekwencji pukania
Zgadzam się z tobą @GroundZero. Może to być przydatne w warunkach domowych, jednak korzystam z VPN zarówno w pracy, jak iw domu.
@GroundZero, W trosce o kompletność postu rozszerzyłem wpis o Twoją sugestię. OP powiedział już, że ma korporacyjną zaporę ogniową.
Używam RSA i zwykle pobieram dziennik z moich serwerów i banuję brutalne forcery przez iptables.
W tym konkretnym przypadku wymagałoby to skomplikowanej konfiguracji, chyba że mówimy o rzeczywistym serwerze syslog dla firmowej zapory ogniowej. I opracowanie wtyczki dla fail2ban. W domu mam VPN z strongswanem, w pracy przechodzę przez dedykowany serwer VPN do zespołu IT; nie można przejmować się logami ssh brute-force, które pochłaniają zasoby i pozostawiają inny port (SSH) otwarty na ataki podatności. Potrzebujesz ssh, jesteś poza domem, przyjeżdżasz przez VPN. Mam tutaj centralny serwer syslog, bez pobierania dziennika. Mam klientów VPN + ssh zarówno w moim notebooku, jak i na moim iPhonie i działają całkiem dobrze.
Benoit Esnard
2016-01-15 16:29:27 UTC
view on stackexchange narkive permalink

Tak, jesteś brutalnie zmuszany. Ale myślę, że nie powinieneś się martwić o jakąkolwiek brutalność, którą wykryjesz, pochodzącą z Internetu. Powinieneś jednak martwić się atakami siłowymi pochodzącymi z Twojej własnej sieci.

Bycie brutalnym jest bardzo powszechne i dopóki nie używasz haseł do SSH (lub dobrych haseł) , atak w ogóle się nie powiedzie (szczególnie w przypadku jedno zgadywanie co 3-4 sekundy).

Chociaż adres IP (172.25.1.1) znajduje się w tej samej sieci co Ty. To jest prawdziwy problem i powinieneś sprawdzić, czy ta maszyna nie została przejęta tak szybko, jak to możliwe .

_ „Nie sądzę, abyś martwił się jakąkolwiek brutalną siłą, którą wykryjesz, pochodzącą z Internetu” _ Tak. Zainstaluj podstawowe oprogramowanie zabezpieczające, takie jak _fail2ban_, aby zapobiec tym atakom (a) natknięcie się na poprawne hasło, (b) marnowanie przepustowości oraz (c) zapełnianie dzienników.
Benoit miał na myśli to, że OP nie powinien martwić się tym konkretnym atakiem - ponieważ jest on bardzo powszechny, gdy jest przeprowadzany z Internetu - ale zamiast tego faktem, że osoba atakująca zwiększyła uprawnienia i teraz atakuje z sieci wewnętrznej, mając w związku z tym dostęp do zasobów i serwerów organizacji OP.
Mam do czynienia z brutalną siłą ze strony różnych zewnętrznych adresów IP, ale oprócz tego;chodzi o to, że mam do czynienia z „atakami siłowymi pochodzącymi z Twojej własnej sieci” również na moje adresy URL aplikacji sieci Web, które pochłaniają cały mój limit API. Otrzymuję adres IP mojego własnego serwera na req.headers ['user-agent'].Proszę, pomóż mi w tej sprawie.Dziękując Tobie!
Kevin_Kinsey
2016-01-16 00:06:15 UTC
view on stackexchange narkive permalink

Wygląda na to, że przeżywasz atak. SSH robi to, co powinno. Jednak poniżej znajdziesz kilka kroków, które powinieneś podjąć jak najszybciej, aby zapewnić dalsze przetrwanie.

Ponadto, niestety, włamano się na system wewnątrz sieci. W dzisiejszych czasach zbyt powszechne. Powinieneś ustalić naturę tego pozornie wewnętrznego ataku, ale nie zakładaj, że ten system jest zagrożony po prostu na podstawie tego pliku dziennika . Każdy, kto korzysta z dysku SSHD do wyświetlania w sieci, widział to już od lat. Napraw instalację dysku SSHD na tym hoście, a następnie zbadaj system pod adresem 172.25.1.1.

Postępuj zgodnie z najlepszymi praktykami dotyczącymi SSHD, takimi jak te ...

Wyłącz uwierzytelnianie hasła na korzyść uwierzytelniania opartego na kluczach: 

  # grep PasswordAuth sshd_config | grep noPasswordAuthentication no

Jak wspomniano, wyłącz logowanie roota: 

  PermitRootLogin no

Dodaj dozwolonych użytkowników do sshd_config: 

  AllowUsers myusername the_other_sysop_guy

Jeśli zrobisz to ostatnie, komunikat dziennika zmieni się od „nieprawidłowego użytkownika” do „nielegalnego użytkownika”.

W zależności od sytuacji biznesowej możesz również pomyśleć o zaporze ogniowej portu SSHD (zezwalaj na SSH tylko z autoryzowanych adresów IP) lub zmianie go na używanie innego portu (co jest naprawdę zabezpieczeniem przez zaciemnienie, ale większość ataków tego rodzaju jest w rzeczywistości skryptowana). Niestety, fakt, że osoba atakująca wydaje się znajdować się w Twojej sieci LAN, może spowodować, że nie będą one oferować tak dużej pomocy, jak w przeciwnym razie.

Nawiasem mówiąc, fakt, że urządzenie jest w wersji 1.1, sprawia, że ​​zastanawiam się, czy ' dostałeś się do routera? ;-)

Oprócz `root`, staram się też zabraniać logowania SSH użytkownikom z szerokimi uprawnieniami sudo, ponieważ są one równie złe, jeśli są zagrożone. W nowoczesnych systemach sam root często nie ma nawet hasła.
Chociaż ogólnie wydaje się to dobrym pomysłem, co zrobić dla systemu, który potrzebuje „szerokich” uprawnień? A do jakich „nowoczesnych systemów” masz na myśli… żadne hasło roota nie wydaje się być odrobinę sprzeczne z intuicją… chyba, że ​​nie ma konta roota? :)
D3X
2016-01-15 16:41:12 UTC
view on stackexchange narkive permalink

Standardowy wygląd dzienników wydaje się być powszechnym atakiem siłowym, ponieważ nazwy zapisane w dziennikach pochodzą z używanego standardowego słownika. Nawet popularne listy słów traktują je jako główne docelowe nazwy użytkowników. Ponadto wstrzyknięcie pochodzi z adresu IP klasy prywatnej B. Nie martw się jednak, o ile wymuszone hasła są wystarczająco silne i masz równowagę obciążenia, aby sobie z tym poradzić, nie będzie dla ciebie problemem. Poszukaj środków, aby to zabezpieczyć w środkach SSH Brute Force Protection w SSH.

Dmitry Grigoryev
2016-01-17 02:08:41 UTC
view on stackexchange narkive permalink

Ponieważ wszystkie logowania SSH do twojego serwera są przekierowywane przez ten sam lokalny adres IP, radziłbym ostrożnie używać fail2ban , jeśli zdecydujesz się go użyć. Zainstalowanie fail2ban na tym samym serwerze co sshd spowoduje natychmiastowe zablokowanie adresu IP 172.25.1.1. Potem nikt nie będzie mógł zalogować się przez SSH do twojego serwera.

Jeśli możesz zainstalować fail2ban na serwerze, który przekierowuje ruch SSH, zrób to. Używam fail2ban na moim publicznym serwerze SSH i świetnie sobie radzi, ograniczając atakującego do 3 prób w 10 minut. Większość skryptów do „łamania” skryptów używanych przez dzieciaki po prostu przekroczy limit czasu po tych 3 próbach i nie będzie mi przeszkadzać przez wiele dni.

`fail2ban` przegląda dzienniki nieudanych uwierzytelnień, rób to magicznie, a serwer frontendowy nie będzie ich miał.
(więc umieszczenie go na serwerze frontendowym, który przekierowuje usługę, nie zadziała, ponieważ fail2ban nie będzie mieć absolutnie żadnej idei, czy ma do czynienia z legalnymi lub nieudanymi próbami w zapleczu)
Bruce Ediger
2016-01-19 04:44:11 UTC
view on stackexchange narkive permalink

Możesz także dość łatwo spowolnić zgadywanie hasła atakującego.

W pliku /etc/pam.d/sshd możesz dodać taką linię: 

  auth opcjonalne pam_faildelay.so delay = 7000000

Przy każdej nieudanej próbie logowania sshd moduł PAM będzie czekał 7 sekund. Możesz chcieć zwiększyć lub zmniejszyć opóźnienie, ponieważ jeśli pogłębisz swoje własne hasło, odczekasz 7 sekund, aby otrzymać kolejny monit. Zaryzykowałbym przypuszczenie, że większość programów do zgadywania haseł SSH jest tak nieskomplikowana, że ​​nie ma limitu czasu związanego z oczekiwaniem na nowy monit, ale możliwe jest, że naprawdę duże opóźnienie spowodowałoby po prostu przekroczenie limitu czasu przez lepsze programy do zgadywania w pewnym momencie. / p>

Ten wydaje się interesującym pomysłem i niejasną ciekawostką, której nie byłem świadomy.
Zastanawiam się, jak najwięcej głosów ma złą odpowiedź, a ta nie zasługuje na uwagę.Szkoda, że nie mogę zagłosować więcej niż raz.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...