Vor ein paar Wochen habe ich hier eine Frage zu etwas ssh
gepostet Probleme, die ich mit einer Ubuntu 12.04-Box hatte. Schneller Vorlauf bis heute und ich versuche, jemand anderem Zugriff auf den Computer zu gewähren, aber sie erhalten immer wieder Passwortfehler. Ich checke var/logs/auth.log
aus für weitere Informationen und habe Folgendes gefunden:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
Ich habe fast 10000 Zeilen, die alle mehr oder weniger dasselbe zu sagen scheinen (es gibt auch 4 auth.log.gz-Dateien, von denen ich annehme, dass sie mehr oder weniger gleich sind?). Manchmal ist an die Anfrage ein zufälliger Benutzername angehängt, input_userauth_request: invalid user bash [preauth]
Ich weiß nicht viel über Server, aber anscheinend versucht jemand, sich Zugang zu meinen zu verschaffen.
Googlete herum, wie man eine IP-Adresse in Ubuntu blockiert, und endete mit folgendem:iptables -A INPUT -s 211.110.xxx.x -j DROP
, aber nachdem ich diesen Befehl ausgeführt und die Protokolle überprüft habe, erhalte ich immer noch alle 5 Sekunden Anfragen von dieser einen IP.
Wie kann ich mehr darüber erfahren, was vor sich geht, und wie kann ich mit diesen ständigen Anfragen umgehen?
Akzeptierte Antwort:
Nach dem, was Sie beschreiben, sieht es nach einem automatisierten Angriff auf Ihren Server aus. Die meisten Angriffe sind, es sei denn, der Angreifer kennt Sie persönlich und hegt einen Groll …
Wie auch immer, Sie sollten sich Denyhosts ansehen, die Sie von den üblichen Repos erhalten können. Es kann wiederholte Versuche analysieren und ihre IP-Adresse blockieren. Sie können immer noch etwas in Ihren Protokollen finden, aber es wird zumindest dazu beitragen, Sicherheitsbedenken zu mindern.
Um weitere Informationen zu erhalten, würde ich mich wirklich nicht darum kümmern. Sofern sie kein Amateur sind, verwenden sie einen Remote-Server, um ihre Drecksarbeit zu erledigen, die Ihnen nichts darüber sagt, wer sie wirklich sind. Am besten suchen Sie den Administrator für den IP-Bereich (WHOIS ist hier Ihr Freund) und lassen ihn wissen, dass Sie viele Zugriffsversuche von dieser IP erhalten. Vielleicht sind sie gut genug, um etwas dagegen zu unternehmen.
Verwandte:Einfachste Möglichkeit, Ubuntu als VPN-Server in Ubuntu einzurichten?