При проверке / var / log / secure на моем сервере centos было обнаружено множество попыток неудачного входа в систему с использованием неизвестных имен пользователей из списка IP-адресов из Японии и Китая.
Как скрыть свой сервер от этих умников или инструментов ;-)
Вот фрагмент журнала
Aug 27 12:07:06 EEHB-VM1 sshd[1191]: subsystem request for sftp
Aug 27 12:08:09 EEHB-VM1 sshd[1191]: pam_unix(sshd:session): session closed for user root
Aug 27 12:24:03 EEHB-VM1 sshd[1375]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw user=root
Aug 27 12:24:04 EEHB-VM1 sshd[1377]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw user=root
Aug 27 12:24:06 EEHB-VM1 sshd[1377]: Failed password for root from 106.186.113.82 port 7176 ssh2
Aug 27 12:24:07 EEHB-VM1 sshd[1378]: Connection closed by 106.186.113.82
Aug 27 12:24:07 EEHB-VM1 sshd[1375]: Failed password for root from 106.186.113.82 port 7176 ssh2
Aug 27 12:24:07 EEHB-VM1 sshd[1376]: Connection closed by 106.186.113.82
Aug 27 12:49:31 EEHB-VM1 sshd[1883]: Invalid user fluffy from 106.186.113.82
Aug 27 12:49:31 EEHB-VM1 sshd[1884]: input_userauth_request: invalid user fluffy
Aug 27 12:49:31 EEHB-VM1 sshd[1883]: pam_unix(sshd:auth): check pass; user unknown
Aug 27 12:49:31 EEHB-VM1 sshd[1883]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw
Aug 27 12:49:31 EEHB-VM1 sshd[1883]: pam_succeed_if(sshd:auth): error retrieving information about user fluffy
Aug 27 12:49:31 EEHB-VM1 sshd[1885]: Invalid user fluffy from 106.186.113.82
Aug 27 12:49:31 EEHB-VM1 sshd[1886]: input_userauth_request: invalid user fluffy
Aug 27 12:49:31 EEHB-VM1 sshd[1885]: pam_unix(sshd:auth): check pass; user unknown
Aug 27 12:49:31 EEHB-VM1 sshd[1885]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remember-template.com.tw
Aug 27 12:49:31 EEHB-VM1 sshd[1885]: pam_succeed_if(sshd:auth): error retrieving information about user fluffy
Aug 27 12:49:33 EEHB-VM1 sshd[1883]: Failed password for invalid user fluffy from 106.186.113.82 port 53242 ssh2
Aug 27 12:49:33 EEHB-VM1 sshd[1884]: Connection closed by 106.186.113.82
Aug 27 12:49:34 EEHB-VM1 sshd[1885]: Failed password for invalid user fluffy from 106.186.113.82 port 45149 ssh2
Aug 27 12:49:34 EEHB-VM1 sshd[1886]: Connection closed by 106.186.113.82
Такое поведение очень частое и повторяется через короткий промежуток времени.
Я подозреваю, что это попытка мошенничества, и хотел бы знать, как мне с ними бороться.
Интересно: как они узнали IP-адрес, даже когда веб-сайт даже не работает и запретил использование роботов?
РЕДАКТИРОВАТЬ 1: Может быть, я могу выбрать эти IP-адреса и ограничить их использование брандмауэром. Но есть ли способ, которым я даже не позволю им попробовать эту озорную попытку, вместо того, чтобы ежедневно обращаться к журналам и добавлять пару других правил в брандмауэр?
P.S. : Спасибо, если кто-то может дать мне образец фрагмента правила iptable, чтобы разобраться с кучей этих IP-адресов ;-)
Для ясности, это атаки SSH, а не FTP. Любой сервер с общедоступным IP-адресом столкнется с этим - боты всегда очищают весь диапазон IPv4-адресов (брутфорс SSH / FTP, поиск непропатченных установок WordPress и т. Д.). Пока вы используете хорошие методы безопасности (аутентификация на основе ключей, надежные пароли), это просто шум, но люди часто используют что-то вроде fail2ban для автоматической блокировки попыток после нескольких сбоев аутентификации.