누군가 내 서버를 해킹하려고합니까? 어떡해?

몇 주 전에 ssh우분투 12.04 상자와 관련된 문제 에 대해 여기에 질문을 게시했습니다 . 오늘 빨리 감기하고 다른 사람이 컴퓨터에 액세스하도록 허용하려고하지만 비밀번호 오류가 계속 발생합니다. 나는 밖으로 체크 아웃 var/logs/auth.log추가 정보를 원하시면,이 발견 :

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

나는 거의 10000 줄이 모두 비슷하거나 거의 같은 것으로 보입니다 (4 개의 auth.log.gz 파일이 더 있다고 가정합니다). 때로는 요청에 임의의 사용자 이름이 첨부되어 있습니다.input_userauth_request: invalid user bash [preauth]

서버에 대해서는 잘 모르지만 누군가가 내 서버에 액세스하려고하는 것 같습니다.

우분투에서 IP 주소를 차단하는 방법에 대한 Googled는 다음과 같이 끝났습니다. iptables -A INPUT -s 211.110.xxx.x -j DROP하지만 해당 명령을 실행하고 로그를 확인한 후에도 5 초 마다이 하나의 IP에서 요청을 받고 있습니다.

이러한 지속적인 요청을 처리하고 처리하는 방법에 대해 어떻게 더 알 수 있습니까?

설명에 따르면 서버에 대한 자동 공격처럼 보입니다. 공격자가 당신을 개인적으로 알고 원한을 갖고 있지 않는 한 대부분의 공격은 ...

어쨌든, 당신은 일반적인 repos에서 얻을 수있는 denyhosts를보고 싶을 수도 있습니다. 반복 된 시도를 분석하고 해당 IP 주소를 차단합니다. 여전히 로그에 무언가가 생길 수 있지만 최소한 보안 문제를 완화하는 데 도움이됩니다.

더 많은 정보를 얻는 것에 관해서는, 나는 정말로 귀찮게하지 않을 것입니다. 그들이 아마추어가 아닌 한, 그들은 원격 서버를 사용하여 더러운 일을하게 될 것입니다. 가장 좋은 방법은 IP 범위의 관리자를 찾고 (WHOIS가 여기에있는 친구 임) 해당 IP로부터 많은 액세스 시도를 받고 있음을 알리는 것입니다. 그들은 그것에 대해 뭔가를하기에 충분할 수 있습니다.

로그에 실패한 로그인 시도가 표시되는 것을 원하지 않으므로 네트워크에서이 IP를 필터링해야합니다.

자체 라우터 나 하드웨어 방화벽 (서버의 방화벽이 아닌)이있는 경우이 방화벽을 사용하여이 IP를 차단하십시오. 인터넷 제공 업체에 차단을 요청할 수도 있습니다.

서버가 VPS 인 경우 VPS 공급자에게이 IP를 차단하도록 요청하십시오. 대부분의 경우 도움 요청을 거부하지 않으므로 비용이 들지 않습니다.

단일 IP의 공격은 여러 다른 IP의 공격에 비해 쉽게 완화 할 수 있습니다. 분산 공격으로부터 보호하려면 지불해야하는 네트워크 제공 업체의 특별 서비스가 필요합니다. 서버 레벨에서는 Denyhosts 또는 Fail2ban과 싸울 수 있습니다. Fail2ban은 ssh뿐만 아니라 다른 서비스도 보호합니다. 조금 더 많은 메모리를 사용합니다. Fail2ban은 iptables를 사용하여 IP를 차단하고 DenyHosts는 hosts.deny 파일을 사용하며 둘 다 로그를 사용하여 악의적 인 시도를 찾습니다. 로그에 의존하지 않는 속도 제한 ssh 시도를 위해 iptables를 구성 할 수도 있습니다.

그러나 위의 모든 좋은 대답은 ...

당신이 쓴 "나는 기계에 다른 사람이 액세스 할 수 있도록 노력하고 있지만, 암호 오류가 계속"

우리 대부분은 공급자 DNS 임대 시간이 제한된 동적 IP를 사용하므로 대부분의 경우 동적 DNS 서비스를 사용하여 이동 중에 서버에 액세스합니다. 원격 사용자도 그러한 서비스를 사용하여 사용자에게 도달하고 있으며 이것이 현재보고있는 IOP 주소 일 수 있습니까?

BTW-많은 "포트 태핑"해커는 많은 홈 서버 사용자가 수행하는 작업에 의존합니다. 즉, 기본 배달 상태 로그인 ID를 변경하지 않습니다. (종종 "admin"!!)하고 가능한 모든 비밀번호 조합을 통해 실행하십시오.

해킹 시도의 99 %가 중국에서 온 것 같습니다. 이것이 내가 찾은 것입니다. 그것은 아마도 국가의 제재로 해킹에 대한 중국 IP를보고 쓸모가 없습니다. IP 만 차단하지 않고 IP 범위를 차단합니다. 라우터의 "서브넷"옵션 또는 Linux 상자의 IPTables와 함께 서브넷 또는 "/ 비트"(예 : / 24)를 사용하십시오. 이 페이지는 국가 별 IP 블록 목록을 제공합니다 (tar.gz 파일이 모두 있습니다) : http://www.ipdeny.com/ipblocks/data/countries . WHOIS 웹 페이지 ( https://whois-search.com/)를 통해 어느 국가를 방문해야하는지 알 수 있습니다.

1 일 서버의 표준 포트를 네트워크로 열지 않아도됩니다. 라우터를 설정하여 53846과 같은 임의의 포트를 열고 해당 머신 포트 22로 전달하십시오.

기회 해커는 22 및 알려진 익스플로잇과 같은 알려진 포트에 대해 광범위한 IP 주소를 검색 할 수 있습니다.

두 번째로 그를 때렸다. 그를 Nmap하고 그가 실행중인 것을 찾으십시오. 그런 다음 그의 접근을 시도하십시오. 재화처럼. 그가 당신이 그에게 있다는 것을 알고 있다면, 그는 멈출 수 있습니다.

당신은 또한 경고 샷처럼 그를 미친 핑 수 있습니다.

3 일 재미있게 즐기고 싶다면 손님 계정을 열 수 있습니다. 권한이 전혀 없는지 확인하십시오. 게스트 홈 디렉토리로 제한하십시오. 귀여워하고 싶다면 가짜 루트 디렉토리 구조를 설정하십시오. 비밀번호를 일반적인 비밀번호로 설정하거나 비밀번호없이 설정합니다.

그런 다음 write 명령을 사용하여 왜 서버 절단을 요구하는지 물어볼 수 있습니다.