1 人の顧客が SSH 攻撃によりプロバイダーがサーバーをシャットダウンすることをメールで通知しました。
サーバーに接続してみると、/tmpにssh-scanプロセスが多く、奇妙なファイルもたくさんあることがわかりました。どうしたらいいかわからなかったので、電源を切らなければなりませんでした。サーバーを再構築する前に、このようなことがどのように発生したかを確認して、これらのことが再発生しないようにする方法はありますか?
答え1
SSHスキャンは通常無差別代入攻撃です。彼らは単に一般的なユーザー名とシンプルで一般的なパスワードを使用しようとします。guestパスワードが「guest」のアカウントを使用してシステムが破損するのを見たことがあります。ため息をつく。
ほとんどのマシンには常にこのようなバッグが散布されます。包括的なソリューションとして、私はファイアウォールで2つのことをしたいと思います。
特定の国でのみポート22 / tcpを使用し
geoip、それへのアクセスを許可します。たとえば、これらの攻撃の間に異常に高い割合がネットワークブロックで発生します。ipset.cn22/tcp
SYNパケットにレート制限を使用して、同じ IP アドレスが 10 分または 15 分間ブロックされる前に 1 分あたり N 回だけ接続できるようにします。これにより、検索ソフトウェアがブロックされ、他の人のネットワークへの潜在的な損傷も遅くなります。これはコミュニティサービスです。
あなたのニーズと制限に応じて異なる方法があります。
ターゲットマシン自体でもシステムアカウントをロックし、単純なパスワード(単語リストの確認、最小長など)を禁止するパスワードポリシーを実装する必要があります。
答え2
Webサーバーログでエラーパターンとアクセスログを確認してください。エラーログから始めます。無差別ログイン攻撃に使用される auth.log と同じです。 SSHを介して同じWebアプリケーションまたはパスワードを使用してサーバーを再生成する場合は、数日後に再びハッキングされる可能性があります。