Hacking-Versuche auf Linux-VM in Azure

782
Chico3001

Ich habe eine sehr seltsame Situation. Ich habe gerade eine neue VM erstellt, sie funktioniert seit nur 30 Minuten und ich sehe eine seltsame Aktivität in der auth.log:

Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2 Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2] Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11: [preauth] Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth] Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2 Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2 Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2 Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2 Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2 Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2 Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11: [preauth] Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth] Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11: [preauth] Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth] Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11 Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root 

Ich habe nur ein Update / Upgrade für die VM durchgeführt und einen neuen admBenutzer hinzugefügt . Wie kann ich so schnell angegriffen werden?

2

4 Antworten auf die Frage

3
mt025

Das ist eine gewöhnliche Sache. 'Hacker' verwenden eine Liste von Azure-IP-Adressen und versuchen, SSH brutal zu erzwingen, um Zugriff auf Ihren Server zu erhalten. Wie das Protokoll oben zeigt, wurden nur Fehler gemacht. Ihre IP-Adresse wurde höchstwahrscheinlich von einer anderen Azure-VM nicht zugewiesen.

Nahezu jeder Server, den ich online eingerichtet habe, hat dieses Problem. Ich empfehle Ihnen zwei Aktionen.

  1. Ändern Sie Ihren SSH-Port in etwas anderes . Dadurch werden Ihre Angriffschancen erheblich verringert.

  2. Installieren Sie fail2ban . Auf diese Weise können Sie IPs für eine festgelegte Zeitdauer oder dauerhaft, wenn x Anzahl der Authentifizierungen vorgenommen wird, sperren.

Auch die Verwendung von Key Only SSH verbessert die Sicherheit noch weiter.

Glücklicherweise ist dies nur eine Testmaschine, daher ist dies nicht kritisch, aber jetzt weiß ich, dass Sicherheit nie genug ist. Ab jetzt werde ich Ihre Empfehlungen auf jeder virtuellen Maschine befolgen, danke ... Chico3001 vor 7 Jahren 0
Denken Sie beim Ändern eines SSH-Ports daran, 22 an der Firewall zu schließen und Ihren neuen Port zu öffnen (ints zwischen 1024 und 65535). Eine Firewall ist auch immer wichtig! Ich verwende iptables. mt025 vor 7 Jahren 0
+1 für fail2ban Trevor Sullivan vor 5 Jahren 0
0
Frank Thomas

Sie wurden noch nicht gehackt, aber jemand versucht, reinzukommen.

Sie sollten Fail2Ban implementieren, um IPs nach einer festgelegten Anzahl fehlgeschlagener Anmeldeversuche vorübergehend zu blockieren.

Es gibt nichts an Ihrer Situation, die "neue VM- oder Adm-Benutzer" bedeutsam macht. Der Angriff ist gegen das rootKonto und die VM hat eine IP-Adresse, die vorhanden war, bevor sie der VM zugewiesen wurde. Jemand führte einen Port-Scan durch, bemerkte, dass der Port aktiv war, und versuchte dann einen verteilten Brute-Force-Angriff. Es ist wahrscheinlich, dass der frühere Empfänger der IP-Adresse auch über SSH-Dienste verfügte. Daher könnte es zu einem Angriff kommen, der bereits gegen einen früheren Empfänger ausgeführt wurde. Es gibt keine Möglichkeit, dies zu sagen.

0
K. Mitko

Dies ist eine recht häufige Situation und wird leider ständig passieren. Bei diesen Versuchen werden lediglich ganze IP-Klassen nach dem Zufallsprinzip geprüft, und Ihre waren nur 30 Minuten nach dem Bereitstellen der VM aufgetaucht. Ich schlage vor, fail2ban zu installieren, wenn es Sie stört.

0
Scott Stensland

Wenn Sie sich rechtmäßig bei Ihrem Remote-Host anmelden, sollten Sie die ssh-Schlüssel verwenden, um die Verwendung eines Kennworts zu vermeiden. Sobald dies der Fall ist, deaktivieren Sie das Zulassen von Kennwörtern auf diesem Remote-Host

vi /etc/ssh/sshd_config  # Change to no to disable tunnelled clear text passwords #PasswordAuthentication yes PasswordAuthentication no 

während auf dem Remote-Host der SSH-Daemon abprallt, wird Folgendes ausgegeben:

sudo service sshd restart 

(und nein, es wird Ihre ssh-Anmeldesitzung nicht beenden, wenn Sie nicht mit einem Kennwort angemeldet sind.)

Diese Änderung unterbindet präventiv alle Anmeldeversuche, bei denen ein Kennwort verwendet wird, und diese Nachrichten werden gestoppt

Failed password for root from 182.100.67.173 port 41144 ssh2