Před několika týdny jsem zde zveřejnil otázku týkající se ssh problémy, které jsem měl s boxem Ubuntu 12.04. Rychle vpřed do dneška a já se snažím umožnit přístup k počítači někomu jinému, ale stále se jim objevují chyby hesla. Vybírám var/logs/auth.log pro více informací a našel jsem toto:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
Mám téměř 10 000 řádků, které, jak se zdá, všechny říkají víceméně totéž (existují také 4 soubory auth.log.gz, o kterých předpokládám, že jsou více stejné?). Někdy je k požadavku připojeno náhodné uživatelské jméno, input_userauth_request: invalid user bash [preauth]
O serverech toho moc nevím, ale vypadá to, že se někdo snaží získat přístup k mému.
Hledal jsem, jak zablokovat IP adresu v Ubuntu a skončil s tímto:iptables -A INPUT -s 211.110.xxx.x -j DROP , ale po spuštění tohoto příkazu a kontrole protokolů stále dostávám požadavky z této jedné IP každých 5 sekund.
Jak mohu zjistit více o tom, co se děje, a jak se vypořádat s těmito neustálými požadavky?
Přijatá odpověď:
Z toho, co popisujete, to vypadá na automatický útok na váš server. Většina útoků je, pokud vás útočník nezná osobně a nechová v sobě zášť…
Každopádně se možná budete chtít podívat na denyhosts, které můžete získat z obvyklých repozitářů. Dokáže analyzovat opakované pokusy a zablokuje jejich IP adresu. Stále můžete něco získat ve svých protokolech, ale alespoň to pomůže zmírnit jakékoli obavy o bezpečnost.
Pokud jde o získání dalších informací, opravdu bych se neobtěžoval. Pokud to nejsou amatéři, budou ke své špinavé práci používat vzdálený server, který vám neřekne nic o tom, kým skutečně jsou. Nejlepším řešením je najít správce pro rozsah IP (WHOIS je zde váš přítel) a dát mu vědět, že z této IP získáváte mnoho pokusů o přístup. Mohou být dost dobří, aby s tím něco udělali.
Související:Nejjednodušší způsob, jak nastavit Ubuntu jako server Vpn v Ubuntu?