최근에 악성 SSH 로그인 시도 분석에 대한 기사 를 읽었습니다 . 이것은 내 데비안 상자의 SSH 사용자 이름, 비밀번호 조합이 드문 것이라고 생각하게했습니다. 내가 무차별 사전 공격의 대상이 되었습니까? /var/log/auth.log.0을 살펴 보자 .
Sep 23 07:42:04 SLUG sshd[8303]: Invalid user tyjuan from 210.168.200.190
Sep 23 07:42:09 SLUG sshd[8305]: Invalid user tykeedra from 210.168.200.190
Sep 23 07:42:14 SLUG sshd[8307]: Invalid user tykeem from 210.168.200.190
Sep 23 07:42:19 SLUG sshd[8309]: Invalid user tykeshia from 210.168.200.190
Sep 23 07:42:25 SLUG sshd[8311]: Invalid user tyla from 210.168.200.190
Sep 23 07:42:30 SLUG sshd[8313]: Invalid user tylan from 210.168.200.190
Sep 23 07:42:35 SLUG sshd[8315]: Invalid user tylar from 210.168.200.190
Sep 23 07:42:40 SLUG sshd[8317]: Invalid user tyler from 210.168.200.190
Sep 23 07:42:45 SLUG sshd[8319]: Invalid user tylerfrank from 210.168.200.190
Sep 23 07:42:50 SLUG sshd[8321]: Invalid user tyliah from 210.168.200.190
Sep 23 07:42:55 SLUG sshd[8323]: Invalid user tylor from 210.168.200.190
그래서 그것은 좋지 않습니다. 공격의 대상이되었고 일부 사용자 이름, 비밀번호 조합이 약하다는 것을 알았으므로 어떻게 할 수 있는지 알고 싶습니다.
- … 내 Linux 박스에 침투했는지 확인합니까?
- … 가해자들이 남긴 피해를 취소합니까?
- … 미래에 이런 일이 발생하지 않도록 하시겠습니까?
최신 정보
가해자가 남긴 피해 를 취소하는 데 대한 조언이 있습니까?
답변
많은 사람들이 DenyHosts를 제안하는 것처럼 보이지만 내 시스템 에서 Fail2Ban 을 사용하여 많은 성공을 거두었 습니다. (구성 가능한) 실패 횟수를 감시 한 다음 서버에서 조치를 수행합니다.이 조치는 iptables를 사용하여 호스트에서 모든 트래픽을 삭제하는 것입니다. 10 번의 로그인 실패 후, 그들은 금지되어 끝났습니다.
Logcheck과 함께 사용하여 서버에서 무슨 일이 일어나고 있는지 항상 알 수 있습니다.
누군가 실제로 시스템에 침입했다는 증거가있는 경우 (게시 한 로그가 이에 대한 증거가 아님) 유일한 해결책은 보관, 컴퓨터 정리, 재설치 및 복원에 필요한 모든 데이터를 백업하는 것입니다. 백업에서. 그렇지 않으면 확신 할 수있는 방법이 없습니다.
답변
유효한 로그인 시도도 로그인되어 있으므로 무차별 대입 시도가 성공한 것으로 보이면 잘못된 것이 발생했음을 나타내는 좋은 증거입니다.
DenyHosts 를 사용 하여 의심스러운 SSH 트래픽에 대한 로그를 모니터링하고 특정 지점에서 호스트를 자동으로 방화벽 해제하도록 구성했습니다.
로드 패턴, 로그인 활동, 주기적 트래픽 스니핑, 실행중인 프로세스 및 열린 포트 모니터링, 트립 와이어와 같은 도구를 사용하여 파일 무결성을 보장하는 등 시스템이 손상된 지 확인하기 위해 다양한 다른 방법이 있습니다.
하나만 수행하려는 경우 시스템로드 모니터링은 손상을 감지하는 매우 효과적인 방법입니다. 손상 될 때 대부분의 컴퓨터는 대량의 스팸을 보내거나 다른 방법으로 많은 트래픽을받는 등의 작업을 수행하기 때문에 사용됩니다. 귀중한 대상이고 사람들이 호스트를 좀비로 바꾸는 것 외에 다른 이유로 귀중하게 침입하려는 경우 유용하지 않을 수 있지만 그럼에도 불구하고 귀중합니다. 또한 프로파일 링 및 더 많은 하드웨어 또는 더 나은 소프트웨어에 투자해야 할시기를 파악하려면 모니터링 부하가 필요합니다.
또한 auth.log 및 기타 예상치 못한 사항을보고 포괄적 인 로그 분석을 수행해야합니다. 로그 파일 분석은 경쟁이 치열한 시장이며 문제는 아직 해결되지 않았지만 매일 요약을 보내도록 구성 할 수있는 logwatch와 같은 무료 도구가 있습니다.
레이어를 통한 보안!
답변
매우 비싼 Tripwire는 잊어 버리십시오. 대신 AIDE를 사용하십시오. 무료이며 쉽게 설정할 수 있습니다 (제외 할 임시 디렉토리를 결정하고 구성하는 데 약간의 시간이 걸리지 만).
당신이 그것을 실행하면 모든 파일의 데이터베이스를 작성합니다. 다시 실행하면 어떤 파일이 변경되었는지 알려줍니다.
또 다른 방법은 거부 호스트 유형 차단 기능이있는 CSF를 설치하는 것입니다. 사람들이 반복적으로 로그인하지 못하면 방화벽 규칙에 추가됩니다. 공개 키를 가지려면 SSH 로그인을 요구할 수도 있습니다. 스크립트 키디는 원하는만큼 로그인을 시도 할 수 있습니다.
답변
"* ... determine if my Linux box has been infiltrated?"
- 이상한 과정의 징후를 찾으십시오. 나는 일반적으로 chkrootkit ( http://www.chkrootkit.org ) 과 함께 제공되는 도구를 사용합니다
- 다른 시스템에서 nmap을 사용하여 포트 스캔을 수행하십시오. 상자가 손상되면 공격자가 백도어를 설치했을 가능성이 있습니다
“* … 가해자들이 남긴 피해를 취소 하시겠습니까?”
공격이 있었다면 잊어 버리십시오. 가장 좋은 방법은 처음부터 다시 설치하는 것입니다 (새 설치에 구멍을 뚫어야합니다). 백도어 또는 스텔스 프로세스를 눈치 채지 못하는 것은 매우 쉬운 일이므로 다시 설치하는 것이 좋습니다.
“* … 향후에 이런 일이 발생하지 않습니까?”
-
보안 업데이트
-
단단한 방화벽
-
강력한 비밀번호
-
불필요한 서비스를 끄다
답변
logcheck , portsentry 및 tripwire 와 같은 도구를 살펴보십시오 . 임의의 사전 SSH 시도에는 매우 일반적이므로 그렇게 걱정하지 않아도됩니다. 임의의 난독 처리를 위해 포트를 변경하고 싶을 때도 있지만 가끔씩 임의의 시도가 계속 표시됩니다. 인터넷에 컴퓨터가있는 것입니다.
답변
이러한 공격을 막기 위해 서버에서 사용하는 한 가지는 DenyHosts 입니다. DenyHosts는 악의적 인 사용자가 로그인을 시도하지 못하게합니다. 설치 후 내 로그 파일에는 로그인 시도 항목이 훨씬 적었습니다.
답변
공개 / 개인 키 쌍을 추가 인증으로 사용하는 것이 좋습니다. 그렇게하면 사용자는 올바른 키없이 SSH를 통해 로그인 할 수 없습니다. 무차별 대입을 추측하는 것은 불가능합니다. 이것에 대한 좋은 기사는 여기 에서 찾을 수 있습니다 .
비밀번호 문구가있는 이것만으로도 SSH 인증에 매우 견고합니다. 그러나 더 많은 취약점이 있습니다! 열린 포트를 사용하는 모든 응용 프로그램을주의하십시오. 버그가 포함 된 경우 공격자가 시스템을 능가 할 수 있습니다. 좋은 예는 현재 사용중인 webstats 소프트웨어의 버그로 인해 서버에 설치된 스팸 봇입니다.