Systematische Angriffe auf mehrere Dienste und Ports (an NAT vorbei) auf Hobby-Server

2496
Ruben Solvang
  • Neuinstallation von Fedora 25 Server
  • Server hinter einem Router mit nur wenigen NAT-Regeln
  • Viele SSH-Anmeldeversuche von hunderten verschiedenen IPs / Ports (ändern sich ständig)
  • Kürzlich wurden auch Angriffe / Exploits auf nginx (ausgeführt in einer Docker-Instanz) im Protokoll angezeigt.

Einige Beispiele aus dem Protokoll:

error: maximum authentication attempts exceeded for invalid user root from 88.14.203.97 port 56548 ssh2 [preauth]  error: Received disconnect from 52.221.236.126 port 62639:3: com.jcraft.jsch.JSchException: Auth fail [preauth]  [error] 6#6: *138 open() "/usr/share/nginx/html/nice ports,/Trinity.txt.bak" failed (2: No such file or directory), client: 77.77.211.78, server: localhost, request: "GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0"

Ich habe die grundlegenden Härtungsmaßnahmen bei der Installation durchgearbeitet, einschließlich des Zulassens der SSH-Anmeldung mit einem Zertifikat (keine Passwörter, kein Root).

Fragen

  • Wie können Angreifer verschiedene Ports in meinem LAN erreichen, die nicht in NAT konfiguriert sind? UPnP…?
  • Kann man diese blinden Angriffe blockieren / stoppen?

Zusätzliche und möglicherweise relevante Informationen

Ich benutze den Dynamic DNS-Dienst freedns.afraid.org mit einem neu registrierten Domänennamen.

1
Sie sollten fail2ban auf Ihrem Server implementieren: http://www.fail2ban.org/wiki/index.php/Main_Page Zumo de Vidrio vor 7 Jahren 0
Dies ist eine der Maßnahmen, die ich umsetzen möchte. Meine Hauptfrage lautet: Wie kommen die Attacken über die in meinem Router definierten NAT-Regeln? Oder ist das eine Kleinigkeit? Ruben Solvang vor 7 Jahren 0

2 Antworten auf die Frage

3
Alex

Wie können Angreifer verschiedene Ports in meinem LAN erreichen, die nicht in NAT konfiguriert sind? UPnP…?

Dies ist nur möglich, wenn der Server gefährdet ist oder externe Verbindungen über UPnP-Ports geöffnet werden. Wenn Sie Weiterleitungsregeln erstellen, können Sie angeben, welcher Port oder Portbereich an bestimmte IP-Adressen weitergeleitet wird, die sich auf der LAN-Seite befinden. Sie können externe Ports auch in lokale Ports mit anderen Werten ändern (ersetzen) (externer Port 3456 zum lokalen Port 22 weiterleiten) oder One-to-One-Forwarding (extern 22 zu intern 22) einstellen. Also die kurze Antwort - nur die Ports, die Sie in der Firewall geöffnet haben, werden an eine bestimmte IP im LAN weitergeleitet.

Wenn Sie Ihren Server in der DMZ-Zone festlegen, bedeutet dies, dass Ihr Server mit allen Ports vollständig mit dem Internet verbunden ist. Auf diese Weise stehen alle Ports für externe Verbindungen zur Verfügung.

Überprüfen Sie auch diese Liste der anfälligen Router. Wenn der Router selbst gehackt wurde, ist er nicht mehr Ihr Netzwerk.

Kann man diese blinden Angriffe blockieren / stoppen?

Schauen Sie sich die ähnliche Frage an und folgen Sie der Antwort, wie Sie solche Scan-Versuche sichern und reduzieren können.

@ G-Man Danke für deine Korrektur, Englisch ist nicht meine Muttersprache, deshalb ist meine Grammatik nicht gut :( Alex vor 7 Jahren 0
1
Zumo de Vidrio

Die Ports, die Sie in den Protokollen sehen, sind die Quellports des Angreifers, nicht die Zielports. Das bedeutet nicht, dass Ihr System diese Ports geöffnet hat und der Angreifer Ihr System nicht über sie erreicht.

Wenn Sie beispielsweise annehmen, dass Sie Port 22 für ssh geöffnet haben, können Sie in Protokollen sehen, dass die Angriffe für den ssh-Dienst für einen anderen Port kommen (56548).

Danke, das ist eine nützliche Information. Dann denke ich, dass es helfen würde, den ssh-Port zu ändern? Ruben Solvang vor 7 Jahren 0
Die Verwendung von Standardports ist nicht empfehlenswert, es kann jedoch nicht verhindert werden, dass Ihr Server weiterhin Angriffsversuche erhält. Sie sollten einen IP-Filter auf eingehende öffentliche SSH-Verbindungen anwenden (oder fail2ban so bald wie möglich installieren). Zumo de Vidrio vor 7 Jahren 0

Verwandte Probleme