如何辨識和應對暴力攻擊
(跳到最後以減少上下文)
我有一個 CentOS 6 機器,採取了一些安全措施——禁用 root 登錄、強密碼、FTP 和 SSH 的使用者白名單,並安裝了 fail2ban。我得到了 SSH、FTP 和 SMTP 的“通常”級別的嘗試登錄,所有這些 fail2ban 都能令人滿意地處理。不幸的是,我無法更改 SSH 埠號或強制執行密鑰,儘管在我的清單上可能會這樣做。
今天我注意到更嚴重的攻擊;我以前沒見過的東西。同一個 IP 在 SSH 上反复嘗試 root 登錄,但它訪問了隨機埠(每個埠最多嘗試 3 次)並且不知何故沒有被 fail2ban 禁止 - 我認為這是因為隨機埠號。
經過一些調查,
/var/log/secure似乎在幾個小時內就有 22K 次嘗試,所以我手動向 iptables 添加了一條規則,以刪除該 IP 中的所有內容。
sshd: Failed password for invalid user root from x.x.x.x port 48811 ssh2我不知道攻擊者在這裡試圖完成什麼——他是在尋找開放埠、試圖暴力破解 SSH 還是埠敲門?除了手動禁止攻擊者之外,我不知道該怎麼做或在哪裡尋找更多資訊。
TL; 博士
在 *nix 系統中,我應該在哪裡尋找攻擊的證據,我應該如何解釋這些資訊以告知我該怎麼做?
您在消息中看到的這個埠號是他的源埠號,而不是目標埠。在大多數 TCP 實現中,當您連接到任何伺服器時,源埠號是某個隨機的高埠。這也是為什麼他可以一直改變它的原因。
如果他通過他的連接到達您的 SSH 伺服器,而您的 SSH 伺服器只監聽埠 22,那麼您可以確定他正在連接埠 22(這意味著目標埠設置為 22)。
以下是 TCP 中源埠和目標埠的說明:http ://en.wikipedia.org/wiki/Transmission_Control_Protocol