Назад | Перейти на главную страницу

Незапрашиваемое соединение SSH

У меня был запущен сервер Ubuntu 8.04 и несколько дней в Интернете ... У меня есть порты 21 и 22, открытые для FTP и SSH ... Все остальные порты закрыты.

Я побежал 

netstat

И нашел это 

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State 

tcp6       0     68 10.7.1.71%134645824:ssh 125.211.221.145%8:47777 ESTABLISHED

Похоже, 125.211.221.145 установил SSH-соединение с сервером ... и отправляет пакеты ... Может ли кто-то установить SSH-соединение без аутентификации?

Я сделал обратный поиск DNS по адресу ... и, судя по этому ресурсу, он, похоже, из Китая ...

http://www.ipaddresser.com/

Я предполагаю, что большинство серверов все время отбиваются от подобных вещей, но разве это необычно, когда кто-то сидит на таком порту? И есть ли способ заблокировать определенные IP-адреса на уровне сервера?

Сервер находится за мощным межсетевым экраном Cisco.

"УСТАНОВЛЕН" означает, что сеанс tcp открыт. Оно делает не означают, что они успешно прошли аутентификацию. Nmap, например, создаст полный, законный сеанс TCP при сканировании порта 22. (Он проверяет, что демон работает. sshd, проверка строк версии и т. д.). Этот человек может запускать простой сканер портов или даже пытаться подобрать ваши пароли.

Чтобы понять, что на самом деле происходит, вам нужно потратить некоторое время на свои журналы. Тратьте большую часть своего времени на поиск успешных и неудачных попыток входа. Также просто бегаю "who"сообщит вам, действительно ли кто-то вошел в систему через это соединение.

Выход last тоже может быть полезно.

  • Не запускайте ssh на 22-м порту.
  • Не разрешайте подключения к любому порту, на котором вы запускаете ssh, со всего Интернета. ** Если вам нужно подключиться из случайных мест, установите knockd.
  • Не запускайте ftp.

Insyte опередила меня.

Чтобы разорвать все соединения с этого IP:

iptables -A INPUT -s 125.211.221.145 -j DROP

Вы можете использовать такой пакет, как BlockHosts, чтобы остановить все нежелательные соединения такого типа. Вот хороший руководство - это для Debian Etch, но почти все это применимо и к Ubuntu.

Я запускаю программу под названием fail2ban, которая читает журналы общих демонов, таких как ssh и ftp. Он использует регулярные выражения для отслеживания неудачных попыток входа в эти журналы и обновляет правила брандмауэра, чтобы заблокировать IP-адреса злоумышленников. Вы можете настроить поведение fail2ban такими способами, как количество неудачных попыток до того, как IP-адрес будет заблокирован, и как долго он остается заблокированным. Он работает очень хорошо, и я очень им доволен. Проверить это Вот.

Хотя я не знаком с BlackHosts от gareth_bowles, я подозреваю, что он похож на fail2ban.