Du sagst das:
Im letzten Monat hat mein persönlicher Webserver Tausende solcher Benachrichtigungen erhalten.
Keine Panik! Deaktivieren Sie einfach das root
Konto auf dem System.
Willkommen im modernen Internet! Nehmen Sie diese Hinweise nicht persönlich und nicht als Hinweis auf einen gezielten Angriff auf Ihren Webserver. Vielmehr ist dies ein normaler Bestandteil eines jeden online existierenden Webservers: Armeen von Botnetzen scannen Webserver ständig auf Schwachstellen und nutzen diese manchmal aus verschiedenen Gründen / Hacks.
Wenn Sie besorgt sind, können Sie am besten, einfachsten und einfachsten Abhilfe schaffen, indem Sie den root
Benutzer auf dem Server deaktivieren und dann sudo
einem anderen Benutzer auf dem System Rechte zuweisen . Wenn Sie dies einfach tun, beenden Sie das Problem, ohne zusätzliche Software installieren zu müssen.
Ja, einige empfehlen die Installation von Software wie Fail2ban
auf Ihrem Server. Obwohl ich nicht der Meinung bin, dass dies ein schlechtes Werkzeug in einem Online-Verteidigungsarsenal ist, kann dies ein falsches Sicherheitsgefühl vermitteln, wenn Sie nicht so grundlegende Schritte wie das Deaktivieren des root
Benutzerkontos unternommen haben auf dem System.
Die einfachste Möglichkeit, dies auf Ihrem System zu tun, besteht darin, zunächst sudo
allen anderen Benutzern des Systems Rechte zuzuweisen root
. Wenn dies geschehen ist, melden Sie sich als dieser Benutzer über SSH an und führen Sie den folgenden Befehl aus:
sudo passwd -l root
Dadurch wird root
das Konto des Benutzers effektiv gesperrt . Also lassen Sie diese Bots versuchen, sich root
von jetzt an für immer anzumelden. Wenn Sie root
deaktiviert sind, sind die Bemühungen vergeblich.
Das sagte… Vielleicht sollten Sie besorgt sein.
Aber dann sagst du das; Schwerpunkt liegt bei mir:
Diese Angriffe begannen mit Versuchen
root
, sind aber seitdem zu Benutzerkonten fortgeschritten, bei denen ich nicht sicher bin, wie sie überhaupt die korrekten Benutzernamen erraten haben (wenn auch mit falschen Passwörtern).
Machen Sie sich keine Sorgen, wenn zufällig benannte Konten "gehackt" werden, auch wenn einige Benutzernamen mit den Benutzern Ihres Systems übereinstimmen.
Sie sagen also, sie versuchen "Benutzerkonten", aber welche Benutzer? Stimmen sie mit gültigen Benutzern im System überein? Wenn sie nicht mit gültigen Benutzern auf dem System übereinstimmen, machen Sie sich keine Sorgen ... Auch wenn Sie ab und zu einen Versuch sehen, sich als tomcat
oder anzumelden testuser
. Diese Bots zyklieren nur durch Dutzende / Hunderte / Tausende von Benutzernamen, die sie in ihrer Bibliothek haben, um zu sehen, auf welches Konto sie möglicherweise zugreifen könnten ... Und ich würde dabei nicht den Schlaf verlieren.
Aber wenn die "Hack" -Versuche gegen rein bestimmte / bekannte Konten sind? Dann solltest du dir Sorgen machen.
Aber wenn die Angriffe irgendwie nur auf Benutzer gerichtet sind, die auf Ihrem System existieren, dann können Sie davon ausgehen, dass die Hacker eine Kopie Ihrer /etc/passwd
Datei erhalten haben. Erstens: Trotz ihres Verlaufsnamens enthält passwd
diese Datei keine Benutzerkennwörter, sondern grundlegende Benutzerinformationen. Und wenn die Angreifer diese /etc/passwd
Datei haben, dann haben Sie ein VIEL größeres Problem .
Wenn bestimmte / bekannte Konten "gehackt" werden, wird Ihre Webanwendung möglicherweise gehackt.
In der Regel auf Webservern besteht der Hauptgefährdungspunkt nicht über SSH oder ähnliches, sondern über die Webanwendung / den Server selbst. Das bedeutet, wenn Ihre Website auf einem bekannten CMS-System wie WordPress oder Joomla! Basiert. Die Hacker konnten sich über diese Webanwendung in Ihr System einarbeiten, die dann auf einer tieferen Ebene in das System gelangte, die einem SSH-Zugriff, jedoch nicht einem tiefen SSH-Zugriff entspricht.
Das heißt, Webserver, die auf Software wie Apache laufen, werden von einem Benutzer ohne Rootberechtigung www-data
oder ähnlichem verwaltet. Ein Kompromiss Ihrer Webanwendung würde bedeuten, dass ein Hacker die gleiche Zugriffsstufe hat wie Apache, jedoch nicht alles, was sich auf der "Schreibebene" befindet. Aber immer noch eine unheimliche Zugriffsstufe auf der "Leseebene".
Es ist also durchaus vorstellbar, dass eine Webanwendung auf Ihrem Server gehackt wurde, eine Nutzlast auf Apache-Anwenderebene auf Ihrem Server abgelegt wurde und sie die /etc/passwd
Datei irgendwie über diesen Zugriff erhalten haben. Und jetzt versuchen sie, über Benutzernamen in diese /etc/passwd
Datei zu gelangen.
Was tun, wenn Ihre Webanwendung gehackt wurde?
Solltest du Angst haben? Wenn dies der Fall ist, dann ja. Aber Fail2ban
rette dich jetzt nicht. Das Deaktivieren root
kann Sie dennoch einigermaßen retten. Wenn Ihre Webanwendung jedoch gefährdet ist, sollte sie bereinigt werden. Die SSH-Versuche hacken nur "Sauce" auf einem Server, der bereits mit etwas infiziert ist.
Wie kann ich Ihre Webanwendung bereinigen? Es gibt keine einfache Antwort, aber wenn Sie beispielsweise WordPress verwenden, sollten Sie WordPress erneut installieren und dann die Site-Anpassungen über Sicherungen erneut installieren.
Und ja… Solche Sachen sind der Grund, warum Backups und Code Recovery Management eine große Sache sind. Aber niemand kann hier erklären, wie Sie das an dieser Stelle angehen sollten. Dies ist eine völlig andere Frage, die sich auf Ihre Verwendung von cPanel stützt und möglicherweise zusätzliche Hilfe von einem externen Techniker erfordert. Muss es aber erwähnen.