Wie schützen Sie sich gegen Millionen fehlgeschlagener Anmeldeversuche?

1111
Mirage

Jedes Mal, wenn ich mit PuTTY auf meine VPS zugreife, sehe ich Folgendes:

Last failed login: Fri Oct 6 17:25:58 UTC 2017 from xx.xxx.xxx.xxx on ssh:notty There were 2381935 failed login attempts since the last successful login. Last login: Tue Sep 26 09:30:02 2017 from xx.xxx.xxx.xxx 

Ich weiß nicht, dass es verwandt ist, aber wenn ich mich anmelde, dauert das Laden mehr Zeit. Auf anderen Servern, die nicht so viele Anmeldedaten erhalten, schlägt die Ladezeit viel geringer aus.

Können Sie mir sagen, ob so viele Anmeldeversuche die Leistung des Servers beeinflussen? Und kann ich mich dagegen schützen? Ich meine, mein Passwort für die Server lässt sich irgendwie nicht brechen, aber gibt es eine Möglichkeit, diese fehlgeschlagenen Anmeldeversuche zu vermeiden?

Systemspezifikationen:

  • Icon Name : Computer-vm
  • Fahrgestell : vm
  • Virtualisierung : kvm
  • Betriebssystem : CentOS Linux 7 (Core)
  • Name des CPE-Betriebssystems : cpe: / o: Centos: Centos: 7
  • Kernel : Linux 3.10.0-514.26.2.el7.x86_64
  • Architektur : x86-64
3
Sie können entweder den SSH-Zugriff über die IP-Adresse einschränken (https://coderwall.com/p/yz-2_a/limit-ssh-access-by-ip-address) oder den Port von 22 in einen Zufallscode ändern. SpiderPig vor 6 Jahren 1
Sind die Versuche von derselben URL? Wenn ja, blockiere es DrMoishe Pippik vor 6 Jahren 2
Übrigens Vielleicht möchten Sie auch überprüfen, was die langsamen Ladezeiten verursacht, zB mit htop. Es besteht die Möglichkeit, dass sich auf dem Server bereits Malware befindet. SpiderPig vor 6 Jahren 1
Der sicherste Weg, dies zu tun, wäre, alles zu blockieren und nur den IP-Adressen zu erlauben, denen Sie vertrauen. Ich dachte, es gäbe eine Fail2Ban-Software mit Linux, also schauen Sie sich das auch an, um IP-Adressen von fehlgeschlagenen Versuchen zu blockieren, da Sie brutal dazu gezwungen werden. Es gibt wahrscheinlich Tonnen von Kindergartenkindern, in denen einige Länder Scans durchführen, die Teil ihrer Grundschulbildung in der Schule sind. Pimp Juice IT vor 6 Jahren 3
Mit fail2ban können Sie IPs blockieren, die die Anzahl der fehlgeschlagenen Anmeldeversuche überschreiten. Klinghust vor 6 Jahren 3
@Klinghust Fail2Ban ist in Ordnung. Eine effektivere Lösung, die absolut keine neue Softwareinstallation erfordert, ist das Deaktivieren des `root'-Kontos, indem ein neuer Benutzer mit Administratorrechten erstellt wird, das` root 'deaktiviert wird und dieser einzigartige Sudo-Benutzer die neue Pseudo-`root' auf dem Server ist System. JakeGould vor 6 Jahren 1
Sehr hilfreiche Kommentare, vielen Dank, ich werde versuchen, es zu meinen Gunsten einzusetzen. Mirage vor 6 Jahren 1

2 Antworten auf die Frage

5
JakeGould

Daher könnte es eine wesentlich einfachere Lösung dafür geben.

Die von Ihnen geposteten Informationen zeigen, dass es 2.381.935 fehlgeschlagene Anmeldeversuche gibt. Welches ist ziemlich verrückt. Lassen Sie mich raten: Der Benutzer, bei dem Sie sich anmelden, ist… root? Nun, während Fail2Ban eine annehmbare Lösung zu stoppen unerwünschte Anmeldeversuche ist, gibt es eine viel einfachere Lösung: Erstellen Sie ein neues Konto mit einem neuen Namen, ist nicht root, dass Benutzer Admin - Rechte über Sudo geben und dann deaktivieren root.

Im Allgemeinen sollte auf einem Linux-Server im Jahr 2017 einfach nicht das tatsächliche rootKonto aktiv sein und aus irgendeinem Grund verwendet werden können. Jedes "Script-Kiddie" der Welt verfügt über eine Unmenge von beschissenen Exploit-Scripts, die versuchen, das rootKonto zu hacken . Und jeder erfahrene Hacker hat Werkzeuge, die versuchen zu hacken root.

Durch das Erstellen eines neuen Benutzerkontos unter einem witzigen Gattungsnamen können rootSie Ihre Angriffsfläche sofort verringern und diesen potenziellen Angriffspunkt schließen.

Einige Systemadmins mögen es nicht, rootaus reiner Faulheit zu deaktivieren, aber wenn Sie den Zugriff auf den Server auf andere Weise einschränken, z. B. eine Firewall-Konfiguration, die auf gefilterten IP- oder MAC-Adressen basiert, öffnen Sie Ihren Server für Risiko.

Hey Mann, vielen Dank für Ihre Hilfe bei der Bearbeitung der Frage, mein Englisch ist nicht sehr gut. Ich könnte versuchen, den Benutzer zu ändern und root zu deaktivieren, aber dies ist ein Squid-Proxyserver, und ich weiß nur genug, um ihn auszuführen. Ich werde nachforschen, was Sie gesagt haben. Vielen Dank. Mirage vor 6 Jahren 1
3
davidgo

Zusätzlich zu fail2ban (wie von anderen vorgeschlagen) würde ich einen OpenVPN-Server auf dem VPS und dann einen Client auf Ihrem System einrichten und dann einen OpenVPN-Client auf Ihren Client (s) verwenden - und eine Firewall verwenden, um Verbindungen auf ein Kommen zu beschränken aus dem VPN. Dies hilft, indem Sie eine zusätzliche Schutz- / Verschlüsselungsschicht hinzufügen und SSH ausblenden.

Wenn Benutzer versuchen, eine Verbindung herzustellen, kann dies erhebliche Ressourcen beanspruchen. Dies kann jedoch auch etwas anderes sein (nicht konfiguriertes Reverse-DNS, überbesetzte Festplatte). Schauen Sie sich die Zeit an und schauen Sie nach, was die Dinge verlangsamt.

Dies ist nur ein kleiner Server, der einen Squid-Proxy betreibt. Ich weiß nicht, warum sich jemand so viel Mühe geben würde, ihn zu hacken ... Ich werde versuchen, das zu verwenden, was Ihr mir gesagt habt, vielen Dank, wirklich dankbar. Mirage vor 6 Jahren 0
Die Sache ist, dass sie sich nicht wirklich anstrengen, sie haben einfach entdeckt, dass SSH für sie offen ist (wahrscheinlich mithilfe eines Port-Scanners), und sie führen ein Programm aus, um es zu versuchen und es brutal zu erzwingen. So etwas passiert im Internet jeden Tag und jeden Tag. Sie wissen höchstwahrscheinlich nicht und interessieren sich nicht für das, was sie betreiben, und möchten ihre Anonymität [von ihrem POV] einfordern, damit sie für etwas Schändliches verwendet werden kann. davidgo vor 6 Jahren 0