Küsimus:
Vigased kasutajad, kes üritavad minu serverisse sisse logida
mk_89
2012-10-03 18:28:50 UTC
view on stackexchange narkive permalink

Näen palju logikirjeid, mis tunduvad tundmatute IP-aadresside kaudu nurjunud sisselogimiskatsed.

Kasutan SSH-ga sisselogimiseks privaatseid ja avalikke võtmeid, kuid olen märganud, et isegi privaat- ja avalike võtmete korral saan sisse logida oma serverisse filezilla abil ilma pageant kood>. Kas see on normaalne? Mida ma peaksin tegema, et end veelgi kaitsma jõhkra rünnaku eest?

Siin on logi: 

  3. oktoober 14:11:52 xxxxxx sshd [29938] : Kehtetu kasutaja postitäht alates kuupäevast 212.64.151.233Oct 3 14:11:52 xxxxxx sshd [29938]: input_userauth_request: kehtetu kasutaja postgres [preauth] 3. oktoober 14:11:52 xxxxxx sshd [29938]: vastuvõetud katkestas ühenduse 212.64.151.233: : Bye Bye [preauth] 3. oktoober 14:11:52 xxxxxx sshd [29940]: kehtetu kasutaja postgres alates 212.64.151.233Oct 3 14:11:52 xxxxxx sshd [29940]: input_userauth_request: kehtetu kasutaja postgres [preauth] 3. oktoober 14 : 11: 52 xxxxxx sshd [29940]: saadud ühendus katkestatud 212.64.151.233: 11-ga: Bye Bye [preauth] 3. oktoober 14:11:52 xxxxxx sshd [29942]: kehtetud kasutaja postitused alates 212.64.151.233-st 3. oktoober 14:11: 52 xxxxxx sshd [29942]: input_userauth_request: kehtetu kasutaja postgres [preauth] 3. oktoober 14:11:52 xxxxxx sshd [29942]: vastuvõetud katkestus alates 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:52 xxxxxx sshd [29944]: kehtetud kasutaja postgrupid aastast 212.64.151.233Oct 3 14:11:52 xxxxxx sshd [29944]: input_userauth_request: kehtetu kasutaja postgres [preauth] 3. oktoober 14:11:52 xxxxxx sshd [29944]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14 : 11: 52 xxxxxx sshd [29946]: Lahutatud ühendus katkestatud alates 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:52 xxxxxx sshd [29948]: vastuvõetud katkestus saidilt 212.64.151.233: 11: Bye Bye [preauth ] 3. oktoober 14:11:52 xxxxxx sshd [29950]: vastuvõetud ühendus katkestatud 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:52 xxxxxx sshd [29952]: vastuvõetud katkestus alates 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29954]: kehtetu kasutaja administraator alates 212.64.151.233
3. oktoober 14:11:53 xxxxxx sshd [29954]: input_userauth_request: kehtetu kasutaja admin [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29954]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29956]: Kehtetu kasutaja administraator alates 212.64.151.233Okt 3 14:11:53 xxxxxx sshd [29956]: input_userauth_request: kehtetu kasutaja admin [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29956 ]: Vastuvõetud ühendus katkestatud kell 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29958]: kehtetu kasutaja administraator alates 212.64.151.233okto 3 14:11:53 xxxxxx sshd [29958]: input_userauth_request : kehtetu kasutaja admin [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29958]: vastuvõetud katkestus 212.64.151.233: 11-st lubatud, kuna konto on lukus 3. oktoober 14:11:53 xxxxxx sshd [29960]: input_userauth_request: kehtetu kasutaja mysql [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29960]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [ preauth] 3. oktoober 14:11:53 xxxxxx s shd [29962]: Kasutaja mysql pole lubatud, kuna konto on lukus. Oktoober 3 14:11:53 xxxxxx sshd [29962]: input_userauth_request: kehtetu kasutaja mysql [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29962]: Vastuvõetud ühendus katkestati punktiga 212.64 .151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29964]: Kehtetu kasutaja prueba alates 212.64.151.233okt 3 14:11:53 xxxxxx sshd [29964]: input_userauth_request: kehtetu kasutaja prueba [preauth ] 3. oktoober 14:11:53 xxxxxx sshd [29964]: saadud ühendus katkestatud 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29966]: kehtetu kasutaja prueba alates 212.64.151.233Oct 3 14:11:53 xxxxxx sshd [29966]: input_userauth_request: kehtetu kasutaja prueba [preauth] 3. oktoober 14:11:53 xxxxxx sshd [29966]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14: 11:53 xxxxxx sshd [29968]: Kehtetu kasutaja kasutatav versioon alates 212.64.151.233Okt 3 14:11:53 xxxxxx sshd [29968]: input_userauth_request: kehtetu kasutaja usuario [preauth]
3. oktoober 14:11:53 xxxxxx sshd [29968]: saadud ühendus katkestati ajaga 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29970]: kehtetu kasutaja tavakasutus alates 212.64.151.233Oct 3 14 : 11: 54 xxxxxx sshd [29970]: input_userauth_request: kehtetu kasutaja usuario [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29970]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11 : 54 xxxxxx sshd [29972]: Kehtetu kasutaja administraator alates 212.64.151.233Oct 3 14:11:54 xxxxxx sshd [29972]: input_userauth_request: kehtetu kasutaja admin [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29972]: vastu võetud katkestage ühendus 212.64.151.233: 11-ga: Bye Bye [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29974]: kehtetu kasutaja nagios alates 212.64.151.233Oct 3 14:11:54 xxxxxx sshd [29974]: input_userauth_request: kehtetu kasutaja nagios [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29974]: vastuvõetud katkestus 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29976]: kehtetu kasutaja nagios alates 212.64. 151.233Okt 3 14:11:54 xxxxxx sshd [29976]: sisend _userauth_request: kehtetu kasutaja nagios [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29976]: vastuvõetud katkestus 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29978]: kehtetu kasutaja nagios alates 212.64.151.233Okt 3 14:11:54 xxxxxx sshd [29978]: input_userauth_request: kehtetu kasutaja nagios [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29978]: vastuvõetud ühendus katkestatud 212.64.151.233: 11: nägemiseni [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29980]: kehtetu kasutaja nagios alates 212.64.151.233Oct 3 14:11:54 xxxxxx sshd [29980]: input_userauth_request: kehtetu kasutaja nagios [preauth] 3. oktoober 14:11: 54 xxxxxx sshd [29980]: saadud ühendus katkestati ajaga 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29982]: kehtetu kasutaja oraakel alates 212.64.151.233. Oktoober 3 14:11:54 xxxxxx sshd [29982]: input_userauth_request: kehtetu kasutaja oraakel [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29982]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [preauth]
3. oktoober 14:11:54 xxxxxx sshd [29984]: kehtetu kasutaja oraakel alates 212.64.151.233Oct 3 14:11:54 xxxxxx sshd [29984]: input_userauth_request: kehtetu kasutaja oraakel [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29984]: saadud ühendus katkestati ajaga 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29986]: kehtetu kasutaja oraakel aastast 212.64.151.233Oct 3 14:11:54 xxxxxx sshd [29986] : input_userauth_request: kehtetu kasutaja oraakel [preauth] 3. oktoober 14:11:54 xxxxxx sshd [29986]: vastuvõetud katkestus 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:55 xxxxxx sshd [29988]: Kehtetu kasutaja oraakel alates 212.64.151.233. oktoober 3 14:11:55 xxxxxx sshd [29988]: input_userauth_request: kehtetu kasutaja oraakel [preauth] 3. oktoober 14:11:55 xxxxxx sshd [29988]: vastuvõetud katkestus saidilt 212.64.151.233: 11 Nägemine [preauth] 3. oktoober 14:11:55 xxxxxx sshd [29990]: kehtetu kasutaja ftpuser alates 212.64.151.233Oct 3 14:11:55 xxxxxx sshd [29990]: input_userauth_request: kehtetu kasutaja ftpuser [preauth] 3. oktoober 14:11 : 55 xxxxxx sshd [29990]: Saadud dis ühendage alates 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:55 xxxxxx sshd [29992]: Kehtetu kasutaja ftpuser alates 212.64.151.233Oct 3 14:11:55 xxxxxx sshd [29992]: input_userauth_request: kehtetu kasutaja ftpuser [preauth] 3. oktoober 14:11:55 xxxxxx sshd [29992]: saadud ühendus katkestati ajaga 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:55 xxxxxx sshd [29994]: kehtetu kasutaja ftpuser alates 212.64. 151.233okto 3 14:11:55 xxxxxx sshd [29994]: input_userauth_request: kehtetu kasutaja ftpuser [preauth] 3. oktoober 14:11:55 xxxxxx sshd [29994]: vastuvõetud katkestus alates 212.64.151.233: 11: Hüvasti [preauth] okt 3 14:11:55 xxxxxx sshd [29996]: kehtetu kasutaja külaline alates 212.64.151.233okto 3 14:11:55 xxxxxx sshd [29996]: input_userauth_request: kehtetu kasutaja külaline [preauth] 3. oktoober 14:11:55 xxxxxx sshd [ 29996]: vastuvõetud katkestus 212.64.151.233: 11-st: Bye Bye [preauth] 3. oktoober 14:11:55 xxxxxx sshd [29998]: kehtetu kasutaja külaline alates 212.64.151.233
3. oktoober 14:11:55 xxxxxx sshd [29998]: input_userauth_request: kehtetu kasutaja külaline [preauth] 3. oktoober 14:11:55 xxxxxx sshd [29998]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:55 xxxxxx sshd [30000]: kehtetu kasutaja külaline alates 212.64.151.233Oct 3 14:11:55 xxxxxx sshd [30000]: input_userauth_request: kehtetu kasutaja külaline [preauth] 3. oktoober 14:11:55 xxxxxx sshd [30000 ]: Saadud ühendus katkestatud kell 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:55 xxxxxx sshd [30002]: kehtetu kasutaja külaline alates 212.64.151.233okto 3 14:11:55 xxxxxx sshd [30002]: input_userauth_request : kehtetu kasutaja külaline [preauth] 3. oktoober 14:11:55 xxxxxx sshd [30002]: saadud ühendus katkestatud 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30004]: kehtetu kasutaja test alates 212.64.151.233. oktoobrist 3 14:11:56 xxxxxx sshd [30004]: input_userauth_request: kehtetu kasutaja test [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30004]: vastuvõetud katkestus alates 212.64.151.233: 11: Hüvasti [ preauth] 3. oktoober 14:11:56 xxxxxx sshd [30006]: Kehtetu kasutaja test ajavahemikust 212.64.151.233Okt 3 14:11:56 xxxxxx sshd [30006]: input_userauth_request: kehtetu kasutaja test [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30006]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30008]: kehtetu kasutaja test alates 212.64.151.233Oct 3 14:11:56 xxxxxx sshd [30008]: input_userauth_request: kehtetu kasutaja test [preauth] 3. oktoober 14: 11:56 xxxxxx sshd [30008]: vastuvõetud katkestus 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30010]: kehtetu kasutaja test alates 212.64.151.233. Oktoober 3 14:11:56 xxxxxx sshd [30010]: input_userauth_request: kehtetu kasutaja test [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30010]: vastuvõetud katkestus 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30012]: vastuvõetud ühenduse katkestamine ajaga 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30014]: kehtetu kasutajakasutaja alates aastast 212.64.151.233Oct 3 14:11:56 xxxxxx sshd [30014] : input_userauth_request: vale kasutaja kasutaja [preauth]
3. oktoober 14:11:56 xxxxxx sshd [30014]: vastuvõetud katkestus 212.64.151.233: 11-st: Bye Bye [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30016]: kehtetu kasutajakasutaja alates 212.64.151.233-st 3. Oktoober 14 : 11: 56 xxxxxx sshd [30016]: input_userauth_request: kehtetu kasutaja kasutaja [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30016]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11 : 56 xxxxxx sshd [30018]: kehtetu kasutaja kasutaja alates 212.64.151.233. Oktoobrist 3 14:11:56 xxxxxx sshd [30018]: input_userauth_request: kehtetu kasutaja kasutaja [preauth] 3. oktoober 14:11:56 xxxxxx sshd [30018]: vastu võetud katkestage ühendus 212.64.151.233: 11-ga: Hüvasti [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30020]: kehtetu kasutaja kasutaja alates 212.64.151.233Okt 3 14:11:57 xxxxxx sshd [30020]: input_userauth_request: kehtetu kasutaja kasutaja [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30020]: vastuvõetud katkestus 212.64.151.233: 11-st: Bye Bye [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30022]: kehtetu kasutaja jboss alates 212.64. 151.233Okt 3 14:11:57 xxxxxx sshd [30022]: sisend_kasutaja_req uest: kehtetu kasutaja jboss [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30022]: vastuvõetud katkestus 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30024]: kehtetu kasutaja jboss alates 212.64.151.233Okt 3 14:11:57 xxxxxx sshd [30024]: input_userauth_request: kehtetu kasutaja jboss [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30024]: vastuvõetud katkestus 212.64.151.233: 11-st: hüvasti [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30026]: kehtetu kasutajakalmaar alates 212.64.151.233Oct 3 14:11:57 xxxxxx sshd [30026]: input_userauth_request: vale kasutajakalmaar [preauth] 3. oktoober 14:11: 57 xxxxxx sshd [30026]: saadud ühendus katkestati ajaga 212.64.151.233: 11: Bye Bye [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30028]: kehtetu kasutaja kalmaar alates 212.64.151.233. Oktoober 3 14:11:57 xxxxxx sshd [30028]: input_userauth_request: kehtetu kasutajakalmaar [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30028]: ühendus katkestatud 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30030 ]: Kehtetu kasutaja temp alates 212.64.151.233
3. oktoober 14:11:57 xxxxxx sshd [30030]: input_userauth_request: kehtetu kasutaja temp [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30030]: vastuvõetud katkestus 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30032]: kehtetu kasutaja svn alates 212.64.151.233Okt 3 14:11:57 xxxxxx sshd [30032]: input_userauth_request: kehtetu kasutaja svn [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30032 ]: Saadud ühendus katkestatud kell 212.64.151.233: 11: Hüvasti [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30034]: kehtetu kasutaja ts alates 212.64.151.233okt 3 14:11:57 xxxxxx sshd [30034]: input_userauth_request : kehtetu kasutaja ts [preauth] 3. oktoober 14:11:57 xxxxxx sshd [30034]: vastuvõetud katkestus saidilt 212.64.151.233: 11: Hüvasti [preauth]
Seitse vastused:
Thomas Pornin
2012-10-03 20:12:41 UTC
view on stackexchange narkive permalink

See on väga levinud. Paljud robotvõrgud üritavad nii levida, nii et see on laiaulatuslik mõttetu rünnak. Leevendusmeetmed hõlmavad järgmist.

  • Kasutage kõrge entroopiaga paroole, mis on tõenäoliselt ebareaalsed.
  • Keela SSH-i sisselogimine jaoks juur .
  • Kasutage "ebatõenäolist" kasutajanime, mida botnetid ei kasuta.
  • Keelake paroolipõhine autentimine täielikult.
  • Käivitage SSH-server mõnes teises portis kui 22.
  • Kasutage ründajate IP automaatseks tagasilükkamiseks või nende aeglustamiseks klahvi fail2ban.
  • Luba SSH-ühendusi ainult valgest loendist IP (ärge hoidke end lukustamast, kui teie kodu IP on nominaalselt dünaamiline!).

Enamik neist meetmetest on seotud teie logifailide väiksena hoidmisega; Isegi kui toores jõud ei õnnestu, on probleemiks tuhanded logikirjed, kuna need võivad varjata tegelikke sihitud rünnakuid. Natuke turvalisust läbi ebaselguse (näiteks ebatõenäoline kasutajanimi ja pordi muutus) toimib imestamata mõistlike ründajate vastu: jah, turvalisus läbi pimeduse on halb ja vale ja nii edasi, kuid mõnikord see töötab ja te ei saa kättemaksuhimuliseks praadida. jumalus, kui seda kasutada tõlgevalt.

Kõrge entroopia parool on aga intelligentsete ründajate vastu tõhus ja seda saab soovitada ainult igas olukorras.

Lisan ka "SSH keelatud Internetist" või "SSH on lubatud ainult teatud IP-delt". Luban SSH-d koduruuterile ainult sisemistelt IP-delt ja oma töö-IP-aadressilt.
AilihbgxavCMT TEHTUD.
Kas kõrge entroopia parool pole pimeduse ülim turvalisus? :)
@MichaelKjörling: Ta. See on täieliku pimeduse turvalisus. Muuuuch parem. (Tõsiselt on kogu erinevus kvantifitseerimine: kui ma saan mõõta, kui palju_ see on turvaline, näiteks parooli entroopia, siis pole see "ebaselge".)
@ThomasPornin SSH teisaldamine juhuslikusse TCP-porti lisab ligikaudu 16-bitise entroopia kõikidele teie kasutatavatele turvameetmetele, kuna TCP-s on iga pordi (allika ja sihtkoha) jaoks saadaval 16 bitti. Nii et see on kindlasti mõõdetav. Oletan, et võite ka väita, et see lisab praktikas rohkem entroopiat, kuna enne, kui ründaja selle osa õigeks saab, pole midagi muud tähtsat (te ei tea isegi, et SSH on saadaval). Kõik see ütles, et ma toetasin vastust ikkagi, sest tundsin, et see on suur valik võimalikke võimalusi OP olukorras aitamiseks.
@MichaelKjörling: kahjuks see nii ei toimi: entroopiabitid liituvad ainult siis, kui salajasi andmeid saab rünnata ainult ühe korraga. SSH-ga saate esmalt serveri leida, proovides pordiväärtusi (SSH-server vastab bänneriga). Kui SSH-server on leitud, saab paroole selles pordis proovida, teistega vaeva nägemata. Et saada 16 bitti ekstra entroopiat, peate tegelikult käima 65000 võltsitud SSH-serverit, mida ei saa eristada tegelikust, välja arvatud see, et need lükkavad tagasi kõik paroolid (mmh ... mida _ saab_ teha _one_ võltsitud sshd-ga ja mõned iptables).
@ThomasPornin Hea punkt.
Ma olen tohutu fänn selle eest, mida mainisite - paroolilogide keelamine kõik koos.Sundige sisselogimist ssh-võtmega ja genereerige siis ainult "rsa 4096" või tugevamad võtmed.Soovitan lisaks lisada google-autentija, et nõuda mitmetegurilist autentimist igal ajal, kui parooli kasutatakse (näiteks sudo).
user10211
2012-10-03 19:02:59 UTC
view on stackexchange narkive permalink

Lihtsaim ja ohutum viis soovimatu juurdepääsu vältimiseks SSH kaudu teie serverisse on lubada SSH-le juurdepääs ainult teatud hostile.

Seda saab TCP-mähiste abil hõlpsasti konfigureerida, kui kasutate Linuxi serverit. Samuti töötavad juurdepääsu piiravad tulemüürid.

Erinevalt teistest vastustest ei arva ma, et ssh-teenuse vaikepordi muutmine oleks hea mõte. Turvalisus turvatunde järgi ei toimi kunagi ja see ei peata sihikindla ründaja suunatud rünnakut. See põhjustab minu kogemuses ka mõningaid kasutamisprobleeme.

Kui SSH-i juurdepääsu piiramine teatud hostile pole valik, võib toimida ka IP-aadresside must nimekiri, kust rünnak tuleb. Pange tähele, et see ei ole efektiivne ründajate suhtes, kes kasutavad teie ründamiseks mitut IP-aadressi teistest ohustatud masinatest.

Jah, olen märganud, et minu logifailis olevad IP-aadressid näivad varieeruvat, kuid IP-aadresside musta nimekirja lisamine hoiab kindlasti kedagi julmalt jõuproovist eemal
samuti ei saa ma rakendada seda, mida esimeses lõigus soovitasite, kuna mul on dünaamiline IP, pean lihtsalt muutma phpmyadmin apache.conf ip-aadressi, et lihtsalt sisse logida phpmyadmini
OtisBoxcar
2012-10-03 18:48:06 UTC
view on stackexchange narkive permalink

Saate teha paar asja ja paar neist tundub, et teete seda juba, nii et see on hea.

  1. Sisselogimiseks nõutakse võtmefaili.
  2. Ärge käivitage SSH-d porti 22. See on esimene (ja tavaliselt ainus) koht, kus bot välja näeb, ja saate SSHD-konfiguratsiooni lihtsa muutmisega 90% nendest sisselogimiskatsetest vältida. [ Muuda: nagu Terry Chia õigesti ütleb, on see turvalisus läbi pimeduse. See võib küll hoida teie palke botikirjetest puhtamana, kuid see ei aeglusta inimest natuke. Kui teie süsteem on endiselt ebaturvaline, ei aita ebaturvalisuse teisele porti viimine.]
  3. Kasutage midagi Fail2bani taolist. See jälgib teie logisid ja võib lisada tulemüüri reegleid pakettide viskamiseks mis tahes aadressilt, mille sisselogimine ebaõnnestub liiga palju kordi.
  4. Lubage võimaluse korral juurdepääs ainult lubatud loendisse kuuluvatelt IP-del.

Lõppkokkuvõttes, kui teil on selline teenus nagu SSH, mis võtab vastu pakette laiemast internetist, ei saa te midagi teha, et takistada inimesi seda ründama. Kui olete veendunud, et olete rakendanud sobivat ettevaatusabinõud, tuleb sellised logikirjed märkida, kuid neid tuleb lõpuks käsitleda kui taustamüra.

Need kõik tunduvad siiski kõlavate ideedena, kuna mul pole tegelikult veebisaiti 4 võimalik juurutada. Luban tavalise ssh-i sisselogimise ainult siis, kui pean faile üles laadima Dreamweaveri abil, mis on piin.
Arvestades seda, mida olete öelnud, soovitan uurida midagi Fail2bani sarnast. Midagi, mis hoiab hundid eemal, kui te pole seal, et iga IP käsitsi blokeerida.
sudhacker
2012-10-03 18:36:44 UTC
view on stackexchange narkive permalink

SSH-pordi avamine on kindlasti sellistele rünnakutele altid, kuna seal on nii palju roboteid, kes üritavad otsida avatud SSH-pordisid ja käivitavad selliseid jõhkraid rünnakuid eesmärgiga pääseda ühte. Ilmselt tekib probleem, kui olete kasutanud SSHD vaikesätteid ja lubanud paroolipõhiseid ühendusi. Õnneks pole teil seda olnud. Usun, et vaikepordi muutmine SSHD-d kuulamiseks vähendab kindlasti katsete arvu, kuna enamik skannereid otsib avatud porti 22. See on „varjusurve” ja pole kindlasti soovitatav parandus. Kuid see lahendab teie praeguse probleemi, kuni keegi, kellel on rohkem kogemusi, pakub parema lahenduse.

Lugesin, kuidas sadam muutub, tundub olevat hea mõte lõhnast robotite eemaldamiseks
Jah, proovige seda ja andke teada, kas see aitas
Martin
2012-10-04 11:37:35 UTC
view on stackexchange narkive permalink

Või kasutage saidi http://www.blocklist.de/en/export.html musta nimekirja ja teavitage kõiki uusi ründajaid.

Importige ssh.txt ja blokeerige kõik IP-d, mis on viimase 48 tunni jooksul ssh-rünnakul musta nimekirja kantud, või blokeerivad need fail2 failiga ja teatavad neist automaatselt oma Interneti-teenuse pakkujale. Skriptid Optable-blocklist-script on allalaadimiseks saadaval.

Tere tulemast lehele [security.se] - vaadake palun [KKK], peetakse halbaks vormiks mitte avaldada oma ühendust reklaamitava veebisaidiga ... mis ei tohiks muidugi üldse vastata - vaata [vastus]. Teie vastus võiks olla palju parem, kui selgitaksite, kuidas selle veebisaidi kasutamine aitaks OP-d, selle asemel et lihtsalt link maha visata. Ja palun avalikustage oma kuuluvus.
Kaz
2012-10-04 02:08:19 UTC
view on stackexchange narkive permalink

Kuna ma leian, et need SSH-päringud ja nende loodud logide reamurd on süsteemiressursside tüütu raiskamine, kasutan pordi koputamist. SSH-port on nähtav ainult hostidele, kust koputusjärjestus vastu võetakse. Teistele hostidele näib, nagu poleks selles masinas SSH-teenust.

Pordi koputamine on veidi ebamugav, kuna selle usaldusväärseks kasutamiseks muutuva viivitusega pikamaa-võrkudes vajate tõesti spetsiaalset teenust. kliendiprogramm koputusjärjestuse saatmiseks. Samuti võite sattuda mõnes võrgus, mis blokeerib väljuva liikluse mõnele pordi numbri jaoks, mille olete oma pordi koputamise järjestuses valinud.

Pordi koputamise asemel võite rakendada veebi koputamist. Kui masin töötab avalikku veebiserverit, võite panna väikese pisikese veebirakenduse (URL-i alla, mida teate ainult teie) nii, et kui sirvite seda URL-i ja panete vormi õige väärtuse ja esitate selle, siis see avaneb üles sadamasse.

Sadama koputamine on [turvalisus pimeduse poolt] (http://security.stackexchange.com/a/1198/3644). Kasutage selle asemel ssh-võtmeid ja fail2ban.
Argument, et sadama koputamine on hämaruse tõttu turvalisus, on puhas kahjutasu (sest see tähendab, et sadama koputamine on turvalisus, mis see siiski pole). Kuigi koputusjärjestus on omamoodi parool, ei ole selle kasutamisel privileegi märkimisväärset tõusu. Kui olete järjestuse hankinud, ei ole te saanud juurdepääsu millelegi olulisele, vaid ainult oskus rääkida pordiga (see, mida paljud serverid juba jätavad lahtiseks). Seda ei saa võrrelda selge tekstiga parooliga, mis annab teile shelliviiba.
Nii et kui ütleme, et 0,01% sealsetest kräkkeritest arvab minu sadama koputamise järjestust, siis see mind ei huvita. Nad ei pääse sisse ja ülejäänud 99,99% pole seda aimanud. See hoiab mu syslogi endiselt puhtamana ja masin vaiksem kui siis, kui mul koputamist poleks.
`fail2ban` näeb lahe välja. Olen teinud selliseid asju, kui skriptid on ühendatud Apache'i. See näeb välja nagu minu selline programm.
gregg
2013-11-27 04:35:24 UTC
view on stackexchange narkive permalink

Teie filezilla / pagaent küsimuse osas: lühike vastus on jah, see on normaalne. Ma nimetaksin seda soovimatuks kõrvalnähuks. Minu kogemuse põhjal, kui kasutate pahtlit, seadistage seal privaatne võti (ühendus, SSH, autentimine), & salvestab sessiooni, mis salvestatakse registrisse. Kui nimetate filezilla saidile „Sait” samamoodi, nagu tegite seansi kittis, vaatab filezilla seda kittide registrit. & kasutab seda

rääkisin nende foorumites sellest (enamasti parooliga kaitstud võtmete kasutamise kontekstis)



See küsimus ja vastus tõlgiti automaatselt inglise keelest.Algne sisu on saadaval stackexchange-is, mida täname cc by-sa 3.0-litsentsi eest, mille all seda levitatakse.
Loading...