Linuxへのハッキングの試みVM Azure
私は非常に奇妙な状況にあります。新しいVMを作成しましたが、動作は30分しかなく、auth.logで奇妙なアクティビティが発生しています。
Aug 10 16:52:35 ubuntu sshd[23186]: Failed password for root from 121.18.238.29 port 59064 ssh2
Aug 10 16:52:40 ubuntu sshd[23186]: message repeated 2 times: [ Failed password for root from 121.18.238.29 port 59064 ssh2]
Aug 10 16:52:40 ubuntu sshd[23186]: Received disconnect from 121.18.238.29 port 59064:11: [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: Disconnected from 121.18.238.29 port 59064 [preauth]
Aug 10 16:52:40 ubuntu sshd[23186]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:41 ubuntu sshd[23188]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:43 ubuntu sshd[23190]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:43 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:45 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:47 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:47 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Failed password for root from 121.18.238.29 port 39684 ssh2
Aug 10 16:52:50 ubuntu sshd[23188]: Failed password for root from 121.18.238.20 port 56100 ssh2
Aug 10 16:52:50 ubuntu sshd[23190]: Received disconnect from 121.18.238.29 port 39684:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: Disconnected from 121.18.238.29 port 39684 [preauth]
Aug 10 16:52:50 ubuntu sshd[23190]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.29 user=root
Aug 10 16:52:50 ubuntu sshd[23188]: Received disconnect from 121.18.238.20 port 56100:11: [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: Disconnected from 121.18.238.20 port 56100 [preauth]
Aug 10 16:52:50 ubuntu sshd[23188]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
Aug 10 16:52:52 ubuntu sshd[23196]: Did not receive identification string from 13.64.88.11
Aug 10 16:52:53 ubuntu sshd[23194]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=121.18.238.20 user=root
VMに更新/アップグレードを行い、新しいadmユーザーを追加しただけです。どうすればこんなに速く攻撃できますか?
これはよくあることです。 「ハッカー」はAzureIPのリストを使用し、ブルートフォースSSHでサーバーにアクセスしようとします。上記のログが示すように、失敗のみが発生しました。 IPが別のAzureVMから割り当てられていない可能性があります。
私がオンラインでセットアップしたほぼすべてのサーバーにこの問題があります。私があなたに勧める2つの行動があります。
SSHポートを別のものに変更します 、これにより攻撃の可能性が大幅に減少します。
インストール fail2ban 。これにより、設定された期間、またはx回の認証が行われたときに永続的にIPを禁止できます。
また、キーのみのSSHを使用すると、セキュリティがさらに向上します。
あなたはまだハッキングされていませんが、誰かが侵入しようとしています。
Fail2Ban を実装して、設定された回数のログイン試行の失敗後にIPを一時的にブロックする必要があります。
「新しいVMまたはadmユーザー」であることを意味のあるものにする状況については何もありません。攻撃はrootアカウントに対するものであり、VMは、VMに割り当てられる前に存在していたIPアドレス上にあります。誰かがポートスキャンを実行し、ポートが稼働していることに気づき、分散ブルートフォース攻撃を試みました。IPの元の譲受人である可能性があります。アドレスにはSSHサービスも含まれていたため、前の担当者に対してすでに進行中の攻撃が発生している可能性があります。わかりません。
これは非常に一般的な状況であり、残念ながら常に発生します。これらの試みは、IPのクラス全体をランダムにプローブするボットであり、VMをデプロイしてから30分後に発生します。気になる場合は、fail2banをインストールすることをお勧めします。
リモートホストに合法的にログインするときは、パスワードの使用を避けるためにsshキーを使用する必要があります...それがtrueになったら、そのリモートホストでのパスワードの許可を無効にします...リモートホストで編集
vi /etc/ssh/sshd_config
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
PasswordAuthentication no
次に、リモートホスト上で、次を発行してsshデーモンをバウンスします。
Sudo service sshd restart
(そして、パスワードを使用してログインしない限り、sshログインセッションを強制終了しません)
この変更により、パスワードを使用するすべてのログイン試行が先制的に阻止されるため、これらのメッセージは停止します。
Failed password for root from 182.100.67.173 port 41144 ssh2