Вчера запустил дроплет и настроил мой локальный файл хоста, чтобы он указывал моему домену на IP. Можно было нормально подключиться и даже установить позволяет зашифровать сертификат, временно перенеся запись A через cloudflare.
Сегодня утром служба внезапно перестала работать при попытке войти в установку Wordpress (IP 104.248.162.53).
Я все еще могу войти по SSH и выполнил следующее:
systemctl status sshd
Который получил такой ответ:
Dec 20 12:33:07 ggs-live-1gb sshd[1204]: Invalid user mc from 94.25.38.210 port 44058
Dec 20 12:33:07 ggs-live-1gb sshd[1204]: Received disconnect from 94.25.38.210 port 44058:11: Bye Bye [preauth]
Dec 20 12:33:07 ggs-live-1gb sshd[1204]: Disconnected from invalid user mc 94.25.38.210 port 44058 [preauth]
Dec 20 12:34:00 ggs-live-1gb sshd[1214]: Received disconnect from 122.226.181.166 port 46578:11: [preauth]
Dec 20 12:34:00 ggs-live-1gb sshd[1214]: Disconnected from authenticating user root 122.226.181.166 port 46578 [preauth]
Dec 20 12:34:37 ggs-live-1gb sshd[1216]: Accepted publickey for root from 81.133.250.129 port 58845 ssh2: RSA SHA256:(removed)
Dec 20 12:34:37 ggs-live-1gb sshd[1216]: pam_unix(sshd:session): session opened for user root by (uid=0)
Dec 20 12:36:16 ggs-live-1gb sshd[1361]: Invalid user vbox from 178.128.97.193 port 33879
Dec 20 12:36:17 ggs-live-1gb sshd[1361]: Received disconnect from 178.128.97.193 port 33879:11: Bye Bye [preauth]
Dec 20 12:36:17 ggs-live-1gb sshd[1361]: Disconnected from invalid user vbox 178.128.97.193 port 33879 [preauth]
Не уверен, кто такие «94 .25.38.210» или «122.226.181.166» ... это атака?
Ваша капля разрешает доступ по SSH любому, поэтому в основном есть люди, сканирующие целые диапазоны IP-адресов и выполняющие атаки методом перебора, надеясь, что они получат совпадение имени пользователя и пароля и получат доступ к вашему серверу. Вам следует установить что-то вроде fail2ban, которое блокирует эти атаки. Кроме того, хотя это не рекомендуется по причинам *, указанным ниже, вы можете изменить порт, на котором работает SSH:
Поддержка клиентов: всем, кто подключается к вашему серверу, необходимо знать и использовать измененный порт. Если вы находитесь в строго управляемой среде, эту конфигурацию можно передать клиентам, или, если у вас мало пользователей, взаимодействие должно быть простым.
Документация Исключения: Большинство сетевых устройств, таких как межсетевые экраны и IDS, предварительно настроены для запуска общих служб на общих портах. Любые правила брандмауэра, связанные с этой службой на этом устройстве, необходимо будет проверить и, возможно, изменить. Точно так же подписи IDS будут настроены так, чтобы выполнять проверку SSH только на порту 22. Вам нужно будет изменять каждую подпись каждый раз, когда они обновляются, с вашим новым портом. (В качестве точки данных в настоящее время существует 136 подписей snort VRT и ET с использованием SSH).
Защита системы: современные Linux часто поставляются с системами MAC и / или RBAC уровня ядра (например, SELinux на основе RedHat или AppAmor на основе Debian) и предназначены только для того, чтобы приложения могли делать именно то, для чего они предназначены. Это может быть как доступ к файлу / etc / hosts, так и запись в определенный файл или отправка пакета по сети. В зависимости от того, как настроена эта система, по умолчанию она может запретить sshd привязку к нестандартному порту. Вам нужно будет поддерживать локальную политику, которая позволит это.
Мониторинг других сторон: если у вас есть внешнее подразделение информационной безопасности или сторонний мониторинг, то они должны быть уведомлены об изменении. При выполнении оценки безопасности или анализа журналов для поиска угроз безопасности, если я вижу SSH-сервер, работающий на нестандартном порту (или SSH-сервер на не-UNIX / Linux, если на то пошло), я рассматриваю это как потенциальный бэкдор. и вызвать скомпрометированную системную часть процедуры обработки инцидента. Иногда проблема решается через 5 минут после звонка администратору и получения сообщения о том, что это законно, и в этот момент я обновляю документацию, в других случаях, когда действительно решают проблему плохого качества. В любом случае это может привести к простоям для вас или, по крайней мере, к нервному звонку, когда вы отвечаете на свой телефонный звонок и слышите: «Привет, это Боб из отдела информационной безопасности. У меня к вам несколько вопросов. . "
Источник по причинам * https://security.stackexchange.com/questions/32308/should-i-change-the-default-ssh-port-on-linux-servers
Fail2ban был установлен автоматически как часть капли. Остановка с помощью этой команды:
sudo service fail2ban stop
Вернул все к жизни ...
Теперь мне нужно правильно настроить fail2ban, чтобы этого больше не повторилось.