IP adresa pod útokem?

Poradna při řešení nejrůznějších problémů spojených s provozem virtuálních serverů.
Zamčeno
mira
Příspěvky: 53
Registrován: pát 11. led 2013 19:01:39

IP adresa pod útokem?

Příspěvek od mira »

Dobrý den,

prosím o radu. Včera jsem nainstaloval nový server (ID 412) a dostal veřejnou IP adresu 77.93.202.74. Server je prakticky čistý.

Dnes jsem dostal zprávu, že Firewall 4smart.cz rozpoznal, že Váš virtuální server byl zdrojem síťového útoku a provedl nezbytné opatření.

Když se podívám do auth.log, tak vidím hromadu tohoto:
Jan 24 05:42:50 localhost sshd[5473]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:42:52 localhost sshd[5666]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:42:54 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:56 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:58 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:59 localhost sshd[5666]: Received disconnect from 103.41.124.36: 11: [preauth]
Jan 24 05:42:59 localhost sshd[5666]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:43:01 localhost sshd[5827]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:43:03 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:05 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:08 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:08 localhost sshd[5827]: Received disconnect from 103.41.124.36: 11: [preauth]

Je možné, že na danou IP adresu už probíhal nějaký útok, který jsme pouze podědili s adresou? Dá se to nějak řešit?

Děkuji.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: IP adresa pod útokem?

Příspěvek od xsouku04 »

Historii adresy neznám. To musí odpovědět pan Marák.

Silně ale doporučuji používat nestandardní porty, i když máte veřejnou ip adresu.
Internet totiž neustále scanují roboti, kteří zkouší standardní porty. Dále následuje pokus o útok, např. uhádnutí hesla.
Nejlepší je s takovými útočníky se vůbec nebavit - tedy nejlepší je, když Vás vůbec neobjeví. Zvolíte nestandardní porty, popřípadě ještě doplníte nějakými pravidly do firewallu.
Aby někdo skenoval všechny veřejné ip adresy světa a ještě k tomu všechny porty a pak navíc zjišťoval, co že na nich opravdu běží - to se zatím neděje. Zní to divně, ale co se týče např. VoIP přes SIP, jednoduchá změna portů funguje zatím spolehlivě. Samozřejmě to není spolehlivé zabezpečení samo o sobě, ale pokud má Váš server prostě pokoj od různých internetových otravů, co zkouší kde co, je to rozhodně dobře a v podstatě bez práce.
Otravové vám zaneřáďují logy, zvyšují zátěž a přenesená data. A možná by se jim někdy útok mohl podařit.

Jde hlavě o to, že nezabezpečené servery, nebo ty s nešikovnými nebo defaultními hesly používají téměř výhradně defaultní porty. Proto útočník tedy nemá moc zapotřebí zkoumat jiné porty. Hospodárnější je pro něj proskenovat další milion veřejných IP adres na standardní nebo obvyklé porty služeb, které chce napadnout. To mu dá stejné úsilí jako proskenovat 10 veřejných adres a na nich všechny porty.

Kdyby jen 1% veřejných ip adres mělo otevřený port a službu, na který útočník cílí. A dále jen 1 % mělo danou zranitelnost, nebo nevhodně zvolená hesla (např. defaultní). Když útočník proskenuje milion veřejných adres měl by mít stovky úspěšně hacknutých zařízení. Jemu ale klidně stačí několik.
MaT
Příspěvky: 364
Registrován: pát 29. bře 2013 14:35:14

Re: IP adresa pod útokem?

Příspěvek od MaT »

Nestandardní porty tu doporučujete celkem často... Možná u SIPu to má smysl, ale třeba u SSH by se mi do toho moc nechtělo. Potřebuji se občas na svůj server (nebo třeba i na různá zařízení doma) připojovat z různých míst po světě - a někdy se třeba stane, že jsem v nějaké síti, kde připojení na port 22 možné je, ale na nějaké jiné porty třeba ne. Nebo jsou i sítě, odkud je možné se připojit jen na port 80 a 443. Na svém VPS (ne u Odorika) mám třeba tzv. port multiplexer, který dělá to, že na portu 443 může poslouchat jak HTTPS server, tak i SSH server.

To nejlepší co můžete udělat pro zabezpečení SSH je nepoužívat vůbec možnost přihlášení heslem. Vytvořit si pár klíčů (veřejný/soukromý) a přihlašovat se jen přes klíče. Pak si můžou zkoušet rootovská hesla jaká chtějí a jak dlouho chtějí a je mi to úplně jedno. Dost správců serverů si také instaluje různé skripty či programy (např. Fail2Ban), které třeba po 3 neúspěšných pokusech o přihlášení z nějaké IP adresy přidají od firewallu pravidlo třeba na 24 hodin, aby to všechna další spojení z dané IP adresy rovnou zahazovalo.
4smart.cz
Administrátor
Příspěvky: 1373
Registrován: úte 12. říj 2010 9:16:11
Kontaktovat uživatele:

Re: IP adresa pod útokem?

Příspěvek od 4smart.cz »

mira píše:Dobrý den,

prosím o radu. Včera jsem nainstaloval nový server (ID 412) a dostal veřejnou IP adresu 77.93.202.74. Server je prakticky čistý.

Dnes jsem dostal zprávu, že Firewall 4smart.cz rozpoznal, že Váš virtuální server byl zdrojem síťového útoku a provedl nezbytné opatření.

Když se podívám do auth.log, tak vidím hromadu tohoto:
Jan 24 05:42:50 localhost sshd[5473]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:42:52 localhost sshd[5666]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:42:54 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:56 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:58 localhost sshd[5666]: Failed password for root from 103.41.124.36 port 58068 ssh2
Jan 24 05:42:59 localhost sshd[5666]: Received disconnect from 103.41.124.36: 11: [preauth]
Jan 24 05:42:59 localhost sshd[5666]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:43:01 localhost sshd[5827]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.41.124.36 user=root
Jan 24 05:43:03 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:05 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:08 localhost sshd[5827]: Failed password for root from 103.41.124.36 port 50925 ssh2
Jan 24 05:43:08 localhost sshd[5827]: Received disconnect from 103.41.124.36: 11: [preauth]

Je možné, že na danou IP adresu už probíhal nějaký útok, který jsme pouze podědili s adresou? Dá se to nějak řešit?

Děkuji.
Dobrý den,

Váš VPS byl nějakým způsobem zneužit. Buď byl hacknut skrze slabé SSH heslo, případně jiným způsobem, nebo byl proveden nějaký typ amplification útoku, třeba v důsledku špatně nakonfigurovaného DNS serveru ve Vašem VPS.
Váš VPS vytvářel vysoký počet síťových spojení na více různých cílových IP adres.
Není možné, abyste tento stav podědili s přidělenou IP adresou.

J.M.
Zamčeno