我有一个带有plesk面板的Ubuntu根服务器.
昨天我的朋友和我注意到我们TS3的演讲质量非常糟糕.我发送了一些ping到服务器,并且丢包率非常高.
之后我用Google搜索了一下,发现有一个auth.log.
我下载了它并滚动了一下,然后我发现了这个:
May 13 10:01:27 rs204941 sshd[9351]: input_userauth_request: invalid user student [preauth] May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): check pass; user unknown May 13 10:01:27 rs204941 sshd[9351]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.220.198.102 May 13 10:01:29 rs204941 sshd[9351]: Failed password for invalid user student from 112.220.198.102 port 39806 ssh2 May 13 10:01:29 rs204941 sshd[9351]: Received disconnect from 112.220.198.102: 11: Bye Bye [preauth] May 13 10:01:31 rs204941 sshd[9353]: Invalid user student from 112.220.198.102
似乎有人试图通过SSH多次登录.我滚动了一下,看到有人试图使用许多不同的用户名:学生,科技,psi,新闻……
我查看了数据中心网站的流量统计信息.它的速度仅为每小时17MB.我有一个100Mbit的Backbone,所以数据传输本身似乎不是问题.
目前我无法以任何方式访问服务器.
我的问题是:如何再次获得访问权限,我如何能够抑制此攻击并防止发生攻击?
解决方法
How to gain access?
目前尚不清楚为什么您无法访问自己的帐户.
如果您的计算机受到攻击或高负载,您应该与您的提供商讨论限制访问(IP限制)或使服务器脱机(断开与Internet的连接).
您可能还需要提供商可以提供帮助的带外访问权限.
如果有人破坏了您的服务器,您可能需要从备份还原或使用恢复映像.
How to prevent attacks on your server,in particular SSH
首先不要让他们到你的机器!在他们到达您的主机之前,甚至在SSH级别,有很多方法可以阻止强力尝试.
话虽如此,用fail2ban之类的东西保护你的操作系统是一个好主意. http://en.wikipedia.org/wiki/Fail2ban
Fail2ban is similar to DenyHosts … but unlike DenyHosts which
focuses on SSH,fail2ban can be configured to monitor any service that
writes login attempts to a log file,and instead of using
/etc/hosts.deny only to block IP addresses/hosts,fail2ban can use
Netfilter/iptables and TCP Wrappers /etc/hosts.deny.
您应该考虑许多重要的安全技术来帮助防止强力登录:
SSH:
>不允许root登录
>不允许使用ssh密码(使用私钥认证)
>不要在每个界面上听
>为SSH创建网络接口(例如eth1),这与您提供请求的接口(例如eth0)不同
>不要使用通用用户名
>使用允许列表,仅允许需要SSH访问的用户
>如果您需要Internet访问…限制访问一组有限的IP.一个静态IP是理想的,但是将其锁定到x.x.0.0 / 16优于0.0.0.0/0
>如果可能的话找到一种无法通过Internet访问连接的方法,那么你就可以拒绝SSH的所有互联网流量(例如,通过AWS可以获得绕过互联网的直接连接,称为直接连接)
>使用像fail2ban这样的软件来捕获任何暴力攻击
>确保操作系统始终是最新的,特别是安全和ssh包
应用:
>确保您的应用程序始终是最新的,特别是安全包>锁定应用程序的“管理员”页面.上面的许多建议也适用于您的应用程序的管理区域.>密码保护您的管理区域,例如htpasswd for web console将预测任何底层应用程序漏洞并创建额外的进入障碍>锁定文件权限. “上传文件夹”因各种令人讨厌的东西的切入点而臭名昭着.>考虑将您的应用程序置于专用网络之后,仅展示您的前端负载均衡器和跳转框(这是使用VPC的AWS中的典型设置)