@dis4like

Как заблокировать IP атакующего?

Доброго вечера коллеги!

С недавнего времени появилась проблема с безопасностью сервера.
Админ промахнулся и установил при переносе сайта права 777 на папку, после чего благополучно забыл.
На сервер проникли и внедрили вредоносный код, который я уже удалил.
Права установил на как требуется для движка. Чекнул логи auth.log и error.log (Mysql), а там беда. Кто-то ведет подбор паролей походу. Как заблокировать IP-шки, чтобы кикнуть урода?
Проанализировав логи я нашел три постоянных IP.
Пример auth.log:
Dec 20 13:41:01 market-plast sshd[2604]: Disconnected from 112.85.42.88 port 18891 [preauth]
Dec 20 13:41:01 market-plast sshd[2604]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.88 user=root
Dec 20 13:42:02 market-plast sshd[2608]: Invalid user pvkiiserver from 138.68.57.194
Dec 20 13:42:02 market-plast sshd[2608]: input_userauth_request: invalid user pvkiiserver [preauth]
Dec 20 13:42:02 market-plast sshd[2608]: pam_unix(sshd:auth): check pass; user unknown
Dec 20 13:42:02 market-plast sshd[2608]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.68.57.194
Dec 20 13:42:03 market-plast sshd[2608]: Failed password for invalid user pvkiiserver from 138.68.57.194 port 58890 ssh2
Dec 20 13:42:03 market-plast sshd[2608]: Received disconnect from 138.68.57.194 port 58890:11: Normal Shutdown, Thank you for playing [preauth]
Dec 20 13:42:03 market-plast sshd[2608]: Disconnected from 138.68.57.194 port 58890 [preauth]
Dec 20 13:42:24 market-plast sshd[2610]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.88 user=root
Dec 20 13:42:25 market-plast sshd[2610]: Failed password for root from 112.85.42.88 port 41888 ssh2
Dec 20 13:42:29 market-plast sshd[2610]: Received disconnect from 112.85.42.88 port 41888:11: [preauth]
Dec 20 13:42:29 market-plast sshd[2610]: Disconnected from 112.85.42.88 port 41888 [preauth]
Dec 20 13:42:40 market-plast sshd[2612]: Did not receive identification string from 193.112.141.157
Dec 20 13:43:33 market-plast sshd[2617]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.88 user=root
Dec 20 13:43:35 market-plast sshd[2617]: Failed password for root from 112.85.42.88 port 53744 ssh2
Dec 20 13:43:39 market-plast sshd[2617]: Failed password for root from 112.85.42.88 port 53744 ssh2
Dec 20 13:43:42 market-plast sshd[2617]: Failed password for root from 112.85.42.88 port 53744 ssh2
Dec 20 13:43:42 market-plast sshd[2617]: Received disconnect from 112.85.42.88 port 53744:11: [preauth]
Dec 20 13:43:42 market-plast sshd[2617]: Disconnected from 112.85.42.88 port 53744 [preauth]
Dec 20 13:43:42 market-plast sshd[2617]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.88 user=root
  • Вопрос задан
  • 117 просмотров
Решения вопроса 1
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Подбор пасов к серверу SSH это нормальная ситуация.
Избавиться можете или запретом доступа извне к SSH серверу или использованием port knocking.

Заблокировать можете в фаерволе, но лучше отключите парольную аунтентификацию (а рут вообще не должен по ssh ходить) и используйте ключи.

P.S. это всё уже 100500 раз обслюнявленно в статьях, которые легко находяться по запросу "ssh security".
К примеру на хабре их с десяток https://habr.com/post/179219/
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
bestking5236
@bestking5236
постоянно устраиваю необычные проделки
apt install fail2ban
--
из коробки уже будет сам банить при нескольких попытках входа
Ответ написан
si1n3rd
@si1n3rd
DROP'ать пакеты с этих самых IP, используя iptables, как вариант.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
26 марта 2019, в 22:12
30000 руб./за проект
26 марта 2019, в 20:35
10000 руб./за проект