Zahlreiche fehlgeschlagene Anmeldeversuche - cPanel Hulk Brute Force

2104
ina

Mods: Bitte beachten Sie, dass es sich bei dieser Frage speziell um einen Server handelt, der über cPanel und WHM verwaltet wird. Dies unterscheidet sie von der angeblich doppelten Frage .

Im letzten Monat hat mein persönlicher Webserver Tausende solcher Benachrichtigungen erhalten. Bitte beachten Sie, dass mein Server hauptsächlich von WHM / cPanel verwaltet wird, obwohl ich root ssh, ftp und andere herkömmliche Zugangspunkte habe.

Diese Angriffe begannen mit Versuchen root, sind aber seitdem zu Benutzerkonten fortgeschritten, bei denen ich nicht sicher bin, wie sie überhaupt die korrekten Benutzernamen erraten haben (wenn auch mit falschen Passwörtern).

Gibt es eine Möglichkeit, solche Angriffe zu verhindern?

Außerdem ist hier die Anzahl der gerade heute aufgeführten automatischen Sperren und ein paar kleine Rätsel der IP-Adressquellen angegeben. Die Angriffszeiten für den letzten Monat liegen im Allgemeinen um 6:30 Uhr Ostküstenzeit bis 23:00 Uhr:

enter image description here

1
Haben Sie SSH-Zugriff auf den Webserver? Hast du root-Rechte? nKn vor 8 Jahren 0
Ja und ja ... Dev Ops ist zwar nicht meine Stärke, daher verwende ich WHM / cPanel ina vor 8 Jahren 0
“… Aber seitdem haben wir versucht, Benutzerkonten auszuprobieren…” Sind sie echte Benutzerkonten oder handelt es sich nur um eine zufällige Liste von Namen? JakeGould vor 8 Jahren 0
Einige von ihnen sind echt (oder Variationen von real - zB testuser@realdomain.com) und einige scheinen zufällig oder generisch (Kater, Glasfisch usw.) zu sein. ina vor 8 Jahren 0
@ina Dann scheint es sich um zufällige Benutzer aus einer vorgewählten Liste zu handeln, gegen die der Bot läuft. Und wenn es sich bei den Versuchen um zufällige Benutzer handelt, deaktivieren Sie einfach das Konto "root", und Sie sind in Sicherheit. Dies ist ein häufiges Vorkommnis im Internet. Wenn Ihr Root-Konto deaktiviert ist und cPHulk IPs verbietet, sind Sie solide. JakeGould vor 8 Jahren 0
@JakeGould hey guys - obwohl der Angriff auf ssh gerichtet ist, befasst sich diese Frage speziell mit WHM / cPanel, die sich von der verknüpften unterscheidet. WHM / cPanel ist ein anderer Entwicklungsstapel. Daher sollte dies nicht als Duplikat betrachtet werden. ina vor 8 Jahren 0
@ina Nope. Es ist zu 100% dasselbe. cPanel / WHM ist nur eine benutzerfreundliche grafische Benutzeroberfläche, die über die grundlegenden Konzepte des anderen Threads hinausgeht. Alle Symptome und Ratschläge sind zu 100% identisch, unabhängig davon, ob Sie lernen, wie man im Terminal arbeitet, oder ob Sie Dinge über cPanel / WHM tun. JakeGould vor 8 Jahren 1
Verwenden Sie fail2ban besser, so dass ipset anstelle von iptables verwendet wird. Nur die iptables sind eine CPU-teure Art, Dinge zu tun. cybernard vor 8 Jahren 0
@cybernard Entweder cPHulk und cPanel oder Fail2ban, aber nicht beide. [Wenn Sie wissen, was cPHulk macht] (https://documentation.cpanel.net/display/ALD/cPHulk+Brute+Force+Protection), tut es grundsätzlich dasselbe, was Fail2ban tut, aber über eine wen-Schnittstelle. Wenn Sie also Fail2ban direkt neben cPHulk installieren, erhalten Sie zwei Schutzsysteme mit unterschiedlichen Kriterien, die darum kämpfen, Elemente aus 'iptables' hinzuzufügen oder daraus zu entfernen. cPHulk meldet einen Block in seinen Protokollen, aber ein Benutzer, der sich nicht mit der Befehlszeile beschäftigt, wird nie erfahren, was Fail2ban blockiert hat oder was er getan hat. JakeGould vor 8 Jahren 0
@ aina: Haben Sie tatsächlich die Lösungen im markierten Duplikat ausprobiert und festgestellt, dass sie Ihr Problem nicht gelöst haben, oder hatten Sie Probleme beim Versuch, die Lösungen zu implementieren? Hat keine der hier veröffentlichten Lösungen funktioniert? Wenn dies der Fall ist, zieht das erneute Öffnen dieser Frage wahrscheinlich mehr Antworten an, die nicht hilfreich sind. Es wäre wahrscheinlich besser, wenn Sie eine neue Frage stellen, in der Sie Ihr Problem besser differenzieren und auch die Ergebnisse der Anwendung der vorhandenen Lösungen beschreiben. Das ist der beste Ansatz, um Antworten zu erhalten, die besser zutreffen. fixer1234 vor 8 Jahren 1

2 Antworten auf die Frage

2
JakeGould

Du sagst das:

Im letzten Monat hat mein persönlicher Webserver Tausende solcher Benachrichtigungen erhalten.

Keine Panik! Deaktivieren Sie einfach das rootKonto auf dem System.

Willkommen im modernen Internet! Nehmen Sie diese Hinweise nicht persönlich und nicht als Hinweis auf einen gezielten Angriff auf Ihren Webserver. Vielmehr ist dies ein normaler Bestandteil eines jeden online existierenden Webservers: Armeen von Botnetzen scannen Webserver ständig auf Schwachstellen und nutzen diese manchmal aus verschiedenen Gründen / Hacks.

Wenn Sie besorgt sind, können Sie am besten, einfachsten und einfachsten Abhilfe schaffen, indem Sie den rootBenutzer auf dem Server deaktivieren und dann sudoeinem anderen Benutzer auf dem System Rechte zuweisen . Wenn Sie dies einfach tun, beenden Sie das Problem, ohne zusätzliche Software installieren zu müssen.

Ja, einige empfehlen die Installation von Software wie Fail2banauf Ihrem Server. Obwohl ich nicht der Meinung bin, dass dies ein schlechtes Werkzeug in einem Online-Verteidigungsarsenal ist, kann dies ein falsches Sicherheitsgefühl vermitteln, wenn Sie nicht so grundlegende Schritte wie das Deaktivieren des rootBenutzerkontos unternommen haben auf dem System.

Die einfachste Möglichkeit, dies auf Ihrem System zu tun, besteht darin, zunächst sudoallen anderen Benutzern des Systems Rechte zuzuweisen root. Wenn dies geschehen ist, melden Sie sich als dieser Benutzer über SSH an und führen Sie den folgenden Befehl aus:

sudo passwd -l root

Dadurch wird rootdas Konto des Benutzers effektiv gesperrt . Also lassen Sie diese Bots versuchen, sich rootvon jetzt an für immer anzumelden. Wenn Sie rootdeaktiviert sind, sind die Bemühungen vergeblich.

Das sagte… Vielleicht sollten Sie besorgt sein.

Aber dann sagst du das; Schwerpunkt liegt bei mir:

Diese Angriffe begannen mit Versuchen root, sind aber seitdem zu Benutzerkonten fortgeschritten, bei denen ich nicht sicher bin, wie sie überhaupt die korrekten Benutzernamen erraten haben (wenn auch mit falschen Passwörtern).

Machen Sie sich keine Sorgen, wenn zufällig benannte Konten "gehackt" werden, auch wenn einige Benutzernamen mit den Benutzern Ihres Systems übereinstimmen.

Sie sagen also, sie versuchen "Benutzerkonten", aber welche Benutzer? Stimmen sie mit gültigen Benutzern im System überein? Wenn sie nicht mit gültigen Benutzern auf dem System übereinstimmen, machen Sie sich keine Sorgen ... Auch wenn Sie ab und zu einen Versuch sehen, sich als tomcatoder anzumelden testuser. Diese Bots zyklieren nur durch Dutzende / Hunderte / Tausende von Benutzernamen, die sie in ihrer Bibliothek haben, um zu sehen, auf welches Konto sie möglicherweise zugreifen könnten ... Und ich würde dabei nicht den Schlaf verlieren.

Aber wenn die "Hack" -Versuche gegen rein bestimmte / bekannte Konten sind? Dann solltest du dir Sorgen machen.

Aber wenn die Angriffe irgendwie nur auf Benutzer gerichtet sind, die auf Ihrem System existieren, dann können Sie davon ausgehen, dass die Hacker eine Kopie Ihrer /etc/passwdDatei erhalten haben. Erstens: Trotz ihres Verlaufsnamens enthält passwddiese Datei keine Benutzerkennwörter, sondern grundlegende Benutzerinformationen. Und wenn die Angreifer diese /etc/passwdDatei haben, dann haben Sie ein VIEL größeres Problem .

Wenn bestimmte / bekannte Konten "gehackt" werden, wird Ihre Webanwendung möglicherweise gehackt.

In der Regel auf Webservern besteht der Hauptgefährdungspunkt nicht über SSH oder ähnliches, sondern über die Webanwendung / den Server selbst. Das bedeutet, wenn Ihre Website auf einem bekannten CMS-System wie WordPress oder Joomla! Basiert. Die Hacker konnten sich über diese Webanwendung in Ihr System einarbeiten, die dann auf einer tieferen Ebene in das System gelangte, die einem SSH-Zugriff, jedoch nicht einem tiefen SSH-Zugriff entspricht.

Das heißt, Webserver, die auf Software wie Apache laufen, werden von einem Benutzer ohne Rootberechtigung www-dataoder ähnlichem verwaltet. Ein Kompromiss Ihrer Webanwendung würde bedeuten, dass ein Hacker die gleiche Zugriffsstufe hat wie Apache, jedoch nicht alles, was sich auf der "Schreibebene" befindet. Aber immer noch eine unheimliche Zugriffsstufe auf der "Leseebene".

Es ist also durchaus vorstellbar, dass eine Webanwendung auf Ihrem Server gehackt wurde, eine Nutzlast auf Apache-Anwenderebene auf Ihrem Server abgelegt wurde und sie die /etc/passwdDatei irgendwie über diesen Zugriff erhalten haben. Und jetzt versuchen sie, über Benutzernamen in diese /etc/passwdDatei zu gelangen.

Was tun, wenn Ihre Webanwendung gehackt wurde?

Solltest du Angst haben? Wenn dies der Fall ist, dann ja. Aber Fail2banrette dich jetzt nicht. Das Deaktivieren rootkann Sie dennoch einigermaßen retten. Wenn Ihre Webanwendung jedoch gefährdet ist, sollte sie bereinigt werden. Die SSH-Versuche hacken nur "Sauce" auf einem Server, der bereits mit etwas infiziert ist.

Wie kann ich Ihre Webanwendung bereinigen? Es gibt keine einfache Antwort, aber wenn Sie beispielsweise WordPress verwenden, sollten Sie WordPress erneut installieren und dann die Site-Anpassungen über Sicherungen erneut installieren.

Und ja… Solche Sachen sind der Grund, warum Backups und Code Recovery Management eine große Sache sind. Aber niemand kann hier erklären, wie Sie das an dieser Stelle angehen sollten. Dies ist eine völlig andere Frage, die sich auf Ihre Verwendung von cPanel stützt und möglicherweise zusätzliche Hilfe von einem externen Techniker erfordert. Muss es aber erwähnen.

IP-Adressen für temporäre IP-Adressen verbannt - ist fail2ban notwendig? ina vor 8 Jahren 0
[Betrachtung der Dokumentation] (https://documentation.cpanel.net/display/ALD/cPHulk+Brute+Force+Protection) Es scheint, dass cPHulk die Integration von iptables verwendet, um IP-Adressen zu sperren. Daher ist Fail2ban überflüssig . Aber lesen Sie bitte den Rest von dem, was ich gepostet habe. Sie sollten das Konto "root" deaktivieren und einem anderen Benutzer "sudo" -Berechtigungen gewähren, um sicherzustellen, dass "root" auf keinen Fall beeinträchtigt wird. In meiner Antwort werden jedoch einige Aspekte dieser Frage angesprochen. Lesen Sie sie deshalb bitte durch, um sicher zu gehen, dass Sie in Sicherheit sind. JakeGould vor 8 Jahren 0
Ich habe die Dokumentation gelesen und besagt, dass sie den iptables-Regeln Regeln für das IP-Verbot hinzufügt. Diese Methode ist furchtbar CPU-ineffizient. Ich habe getestet. Sie benötigen ipset in Kombination mit einer iptables-Regel. Fail2ban kann ipset verwenden, sodass ich die cPHulk-Sache deaktivieren und fail2ban verwenden würde. cybernard vor 8 Jahren 0
@cybernard Ineffizienz muss im Vergleich zum Skill-Level der Benutzer hier berücksichtigt werden. Jeder, der cPanel verwendet, hat höchstwahrscheinlich wenig Erfahrung mit der Befehlszeile und alle Ineffizienzen, die in cPHulk bestehen könnten, wenn sie mit Fail2ban verglichen werden, werden zu diesem Zeitpunkt irrelevant. Auch meine Antwort besagt eindeutig, dass der Benutzer nicht in Panik geraten und einfach root deaktivieren sollte. Die Wahrscheinlichkeit einer Penetration über SSH, bei der Root deaktiviert ist, und einige Tools wie cPHulk sind bestenfalls äußerst gering. JakeGould vor 8 Jahren 0
0
nKn

Es ist möglich, diese Art von Brute-Force-Angriffen zu stoppen, indem verdächtige Versuche (basierend auf Wiederholungen) blockiert werden, die ihren Zugriff auf die Box über deaktivieren iptables.

In diesem Fall gibt es ein sehr nützliches Werkzeug namens Fail2Ban . Dieses Tool prüft im Wesentlichen einige Protokolldateien und sucht nach Mustern, die Sie in der Konfiguration definiert haben, und die IP-Adresse wird für eine bestimmte Zeit blockiert. Wenn X-Versuche in Y-Sekunden von derselben IP-Adresse ausgeführt werden, kann die IP-Adresse für einen bestimmten Zeitraum blockiert werden.

Wie Sie sagen, Dev-ops ist nicht Ihre Stärke, gibt es einen Link, der die benötigten Teile recht gut veranschaulicht, so dass es mit nicht viel Durcheinander funktioniert. Sie müssen also nur die Protokolldatei suchen, in der Ihre Brute-Force-Versuche protokolliert werden. Definieren Sie ein neues Gefängnis. Dies ist nur die oben beschriebene Kombination. Wahrscheinlich ist das "Schwierigste", ein Muster zu erhalten, das diesen Einträgen entspricht in Ihrer Logdatei, die auf regulären Ausdrücken basiert. Wenn Sie Hilfe benötigen, können Sie Ihre Frage mit einigen dieser Zeilen aktualisieren und ich kann Ihnen dabei helfen, einen passenden Regex zu formulieren.

Der Rest ist einfach, den Dämon zu starten und sich nicht mehr um diese Brute-Force-Versuche zu kümmern.

Hinweis : In Fail2Ban sind bereits einige integrierte Jails definiert, die recht gut funktionieren (wie SSH).

Warum sollte `/ var / log / apache / *. Log` hier ein Faktor sein? Die ursprüngliche Frage betrifft brutale SSH-Versuche. JakeGould vor 8 Jahren 0
Ich habe verstanden, dass die Angriffe auf das cPanel eingingen, das auf einem Webserver laufen sollte nKn vor 8 Jahren 0
cPanel warnt nur vor Brute-Force-Angriffen, die normalerweise SSH sind. Lesen Sie bitte den Abschnitt [cPanel Brute Force Protection] (* https: //documentation.cpanel.net/display/1146Docs/cPHulk+Brute+Force+Protection). Sicher, dies ist ein Webserver, der cPanel verwendet, aber immer noch über SSH-Zugriff verfügt, da dies eine ziemlich normale Sache ist. JakeGould vor 8 Jahren 0
Ok, entfernte diesen Teil aus meiner Antwort und machte ihn allgemeiner nKn vor 8 Jahren 1
Das macht es klarer. Aber ich habe meine Gedanken in meine Antwort gestellt. Grundsätzlich reicht es aus, einfach `root 'zu deaktivieren und dann einem anderen Benutzer` sudo'-Rechte zuzuweisen, um sich vor einem Angriffsversuch wie diesem zu schützen. Wenn jedoch die Webanwendung, die auf dem Server ausgeführt wird, gefährdet ist und dies nun gezielte Versuche gegen `/ etc / passwd`-Benutzer ist, dann hilft` Fail2ban` nicht. Das System ist bereits infiziert und muss bereinigt werden. JakeGould vor 8 Jahren 0

Verwandte Probleme