Взлом попыток для Linux VM в Azure

У меня очень странная ситуация. Я только что создал новую виртуальную машину, она работает всего 30 минут, и я вижу странную активность в auth.log:

Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11:  [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29  user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11:  [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20  user=root

Я только сделал обновление / обновление до ВМ и добавил новый adm пользователь. Как я могу атаковать так быстро?

Источник

4 ответа

Решение

Это обычное дело. "Хакеры" будут использовать список лазурных IP-адресов и будут пытаться перехватить SSH, чтобы получить доступ к вашему серверу. Как показывает журнал выше, были сделаны только сбои. Скорее всего, ваш IP не назначен другой виртуальной машине Azure.

Эта проблема возникает почти у каждого сервера, который я настроил в сети. Есть два действия, которые я рекомендую вам сделать.

  1. Измените ваш SSH-порт на что-то другое, это значительно снизит ваши шансы на атаку.

  2. Установите fail2ban. Это позволит вам заблокировать IP-адреса на определенный период времени или навсегда, когда будет выполнено x количество аутентификаций.

Кроме того, использование только ключа SSH повышает безопасность еще больше.

Источник

Вы еще не были взломаны, но кто-то пытается войти.

Вы должны реализовать Fail2Ban для временной блокировки IP-адресов после заданного количества неудачных попыток входа в систему.

В вашей ситуации нет ничего, что могло бы придать смысл "новой виртуальной машине или обычному пользователю". Атака против root учетной записи, а виртуальная машина находится на IP-адресе, существовавшем до ее назначения. Кто-то выполнил сканирование порта, заметил, что порт подключен, а затем попытался выполнить атаку распределенным перебором. Вполне вероятно, что у бывшего правопреемника IP-адреса также были службы SSH, поэтому вы можете столкнуться с атакой, которая уже проводилась в отношении предыдущего правопреемника. нет никакого способа, которым мы можем сказать.

Источник

Когда вы законно входите в систему на своем удаленном хосте, вы должны использовать ssh-ключи, чтобы избежать использования пароля ... если это так, то отключите разрешение паролей на этом удаленном хосте ... на удаленном хосте edit 

vi /etc/ssh/sshd_config

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no

затем, пока на удаленном хосте отказов его демон ssh, выполнив: 

sudo service sshd restart

(и нет, это не прервет ваш сеанс входа в систему ssh, если вы не вошли в систему, используя пароль)

Это изменение будет препятствовать всем попыткам входа в систему, которые используют пароль, и поэтому эти сообщения будут остановлены 

Failed password for root from 182.100.67.173 port 41144 ssh2
Источник

Это довольно распространенная ситуация и, к сожалению, будет происходить постоянно. Эти попытки - просто боты, проверяющие целые классы IP-адресов случайным образом, и ваши попытки всплыли через 30 минут после развертывания виртуальной машины. Я предлагаю установить fail2ban, если это вас беспокоит.

Источник
Другие вопросы по тегам