Назад | Перейти на главную страницу

Атака грубой силы в DirectAdmin

У меня проблема с монитором грубой силы в прямом админке. Каждую минуту я получаю такую ​​информацию:

15705610210001 52.187.17.107 123 1 sshd4 8 октября 20:56:24 server sshd [10817]: неверный пароль для недопустимого пользователя 123 от 52.187.17.107 порта 40775 ssh2

15705610210000 176.31.253.55 Titanic123 1 sshd4 8 октября 20:56:02 server sshd [10808]: неверный пароль для недопустимого пользователя Titanic123 из 176.31.253.55 порта 35368 ssh2

15705609610001 45.125.65.34 internet 1 exim2 2019-10-08 20:55:18 Ошибка аутентификации входа для (User) [45.125.65.34]: 535 Неверные данные аутентификации (set_id = internet)

15705609610000 80.211.180.23 qazWSX 1 sshd4 8 октября 20:55:21 сервер sshd [10799]: неверный пароль для недопустимого пользователя qazWSX от 80.211.180.23 порт 40812 ssh2

15705609010000 138.197.89.212 root 1 sshd5 8 октября 20:54:15 server sshd [10784]: сбой пароля для root от 138.197.89.212 порта 33528 ssh2

15705608410001 51.254.99.208 root 1 sshd5 8 октября 20:53:56 server sshd [10776]: неверный пароль для root от 51.254.99.208 порта 42610 ssh2

15705608410000 194.182.86.133 root 1 sshd5 8 октября 20:53:31 server sshd [10770]: неверный пароль для root от 194.182.86.133 порта 38058 ssh2

15705607810002 45.125.65.58 market 1 exim2 2019-10-08 20:52:50 Ошибка аутентификации входа для (User) [45.125.65.58]: 535 Неверные данные аутентификации (set_id = market)

Я установил fail2ban и CSF. CSF должен автоматически блокироваться с помощью BFM.

У меня порт ssh изменен. Мой порт directadmin изменен.

В конфигурации ssh: MaxAuthTries 3 MaxSessions 5

В CSF: IGNORE_ALLOW = "1"

Разрешить порт: tcp в 2109, 9009, 53, 80,443,20,21,25,110,143,587,993,995,3306 tcp out 2109, 9009, 80, 113, 443, 20,21,25,110,3306 udp in 53,20,21 udp out 53,113,123, 20,21

CC_DENY: CN, IN, RU, VN, AR, TR, LV, BY, JP, EC, MY, TW, KR

LF_SSHD и т. Д. Установить 3.

Как я могу обезопасить и устранить эту атаку методом грубой силы?

журнал fail2ban:

2019-10-08 21: 01: 29,037 fail2ban.actions [1487]: УВЕДОМЛЕНИЕ [sshd] 194.182.86.133 уже заблокировано

2019-10-08 21: 01: 30,385 fail2ban.filter [1487]: INFO [sshd] Найдено 194.182.86.133

2019-10-08 21: 01: 37 604 fail2ban.filter [1487]: INFO [sshd] Найдено 110.49.70.240

2019-10-08 21: 01: 38,045 fail2ban.actions [1487]: NOTICE [sshd] Ban 110.49.70.240

2019-10-08 21: 01: 38,151 fail2ban.action [1487]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-sshd [\ t]' - стандартный вывод: b ''

2019-10-08 21: 01: 38,151 fail2ban.action [1487]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-sshd [\ t]' - stderr: b ''

2019-10-08 21: 01: 38,151 fail2ban.action [1487]: ERROR iptables -w -n -L INPUT | grep -q 'f2b-sshd [\ t]' - вернул 1

2019-10-08 21: 01: 38,151 fail2ban.CommandAction [1487]: ERROR Ошибка проверки инварианта. Попытка восстановить нормальную среду

2019-10-08 21: 01: 38,256 fail2ban.action [1487]: ERROR iptables -w -D INPUT -p tcp -m multiport --dports ssh, 2109, sftp -j f2b-sshd iptables -w -F f2b- sshd iptables -w -X f2b-sshd - стандартный вывод: b ''

2019-10-08 21: 01: 38,257 fail2ban.action [1487]: ERROR iptables -w -D INPUT -p tcp -m multiport --dports ssh, 2109, sftp -j f2b-sshd iptables -w -F f2b- sshd iptables -w -X f2b-sshd - stderr: b "iptables v1.6.0: не удалось загрузить цель f2b-sshd':No such file or directory\n\nTryiptables -h 'или' iptables --help 'для получения дополнительной информации. \ niptables: Нет цепочки / цели / совпадений по этому имени. \ niptables: Нет цепочек / целей / совпадений по этому имени. \ n "

2019-10-08 21: 01: 38,257 fail2ban.action [1487]: ERROR iptables -w -D INPUT -p tcp -m multiport --dports ssh, 2109, sftp -j f2b-sshd iptables -w -F f2b- sshd iptables -w -X f2b-sshd - вернул 1

2019-10-08 21: 01: 38,257 fail2ban.actions [1487]: ОШИБКА Не удалось выполнить запрет блокировки 'sshd', действие 'iptables-multiport' info 'CallingMap ({' соответствует ':' 8 октября 19:29:42 сервер sshd [5972]: pam_unix (sshd: auth): ошибка аутентификации; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 110.49.70.240 user = root \ nOct 8

19:29:43 сервер sshd [5972]: неверный пароль для root от 110.49.70.240 порт 31718 ssh2 \ nOct 8 21:01:37 server sshd [19799]: pam_unix (sshd: auth): ошибка аутентификации; logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 110.49.70.240 user = root ',' ipjailfailures ':. at 0x7f858c6379d8>, 'сбои': 3, 'ipmatches':. по адресу 0x7f858d696510>, 'ip': '110.49.70.240', 'время': 1570561298.0458193, 'ipfailures':. по адресу 0x7f858c637510>, 'ipjailmatches':. at 0x7f858c637620>}) ': Ошибка остановки действия

2019-10-08 21: 01: 39,734 fail2ban.filter [1487]: INFO [sshd] Найдено 110.49.70.240

Честно говоря, вы мало что можете сделать, чтобы остановить эти атаки, если ваш ssh-сервер перенаправлен. Просто убедитесь, что у вас есть надежный пароль и не используйте общие имена пользователей. Кроме того, как вы можете видеть, Fail2Ban также защищает SSH вашего сервера от атак грубой силы. Также кажется, что IPTables или Fail2Ban могут быть сломаны и неправильно запрещают IP-адреса.

Если ты видишь ERROR Invariant check failed. Trying to restore a sane environment или Couldn't load target 'f2b-sshd':No such file or directory, это может означать:

  • либо fail2ban не смог запустить действие запрета изначально (или начиная с версии 0.10 по требованию первым запретом), например, из-за ошибки в конфигурации, либо многопортовый модуль не разрешен / не установлен в ядре и т. д. см. в fail2ban. записывать ошибки по началу действия;
  • или какая-то внешняя вещь удалила или сбросила правила fail2ban между ними (постарайтесь избежать такой полной очистки правил / цепочек в iptables). Если у вас есть какая-то служба, выполняющая это, добавьте зависимости в fail2ban или попробуйте отфильтровать цепочки fail2ban (например, используйте iptables-save/iptables-restore для цепочек с названиями, начинающимися с f2b-);
  • или вы изменили псевдонимы портов, используемые в правилах iptables (ssh, sftp) после запуска действия fail2ban (были применены правила iptables).