AWS EC2 對阻塞埠的訪問嘗試
我最近在 AWS EC2 上託管的 RHEL 8 伺服器上安裝了 OSSEC。從那時起,我一直在我的安全組中未打開的埠上收到蠻力嘗試和其他嘗試。
當這些埠在 EC2 實例的安全組中未打開時,使用者如何能夠訪問我的伺服器?我如何完全阻止他們訪問伺服器?
範例報告:
OSSEC 隱藏通知。2020年10月18日20:45:33
接收自:shared->/var/log/secure 規則:5712 已觸發(級別 10)->“SSHD 蠻力嘗試訪問系統。” Src IP:46.101.209.127 部分日誌:
10 月 18 日 20:45:32 共享 sshd
$$ 3097608 $$: 與無效使用者 pi 46.101.209.127 埠 49568 斷開連接$$ preauth $$10 月 18 日 20:45:32 共享 sshd$$ 3097608 $$: 來自 46.101.209.127 埠 49568 Oct 18 20:45:12 共享 sshd 的使用者 pi 無效$$ 3097603 $$: 與無效使用者 admin 46.101.209.127 埠 58720 斷開連接$$ preauth $$10 月 18 日 20:45:12 共享 sshd$$ 3097603 $$: 來自 46.101.209.127 埠 58720 Oct 18 20:44:51 共享 sshd 的使用者管理員無效$$ 3097591 $$: 與無效使用者 admin 46.101.209.127 埠 39802 斷開連接$$ preauth $$10 月 18 日 20:44:50 共享 sshd$$ 3097591 $$: 來自 46.101.209.127 埠 39802 Oct 18 20:44:30 共享 sshd 的無效使用者管理員$$ 3097582 $$: 與無效使用者 admin 46.101.209.127 埠 49134 斷開連接$$ preauth $$10 月 18 日 20:44:30 共享 sshd$$ 3097582 $$: 來自 46.101.209.127 埠 49134 的使用者管理員無效 –通知結束
任何一個:
- 安全組配置錯誤,實際上允許此流量,或者
- 附加到您的實例的安全組不是您認為應該的。
修復其中一個,問題就會消失。
如果您需要更多幫助,請使用 SG 入站規則的螢幕截圖以及顯示 SG 名稱的實例配置螢幕截圖來更新您的問題。
更新
- 您在日誌中看到的埠是攻擊者連接到您的埠 22的遠端埠。
- 你的安全組太開放了。只向世界開放埠 80 和 443,所有其他埠必須限制為您的家庭或辦公室 IP,否則您很快就會回來詢問如何恢復被黑客入侵的實例。
或者,更好的是,設置一個小型 VPN 實例並僅通過 vpn 訪問您的私有埠(mysql、ssh、ftp…)。然而,這是一個多一點的工作。
希望有幫助:)