누군가 내 VPS에 연결을 시도하고 있나요?

tag-icon tag-icon debian sshd vps
누군가 내 VPS에 연결을 시도하고 있나요?

VPS(Debian 9) 호스트에서 OVH를 통해 명령을 실행할 때 journalctl -xe연결 시도가 여러 번 표시됩니다. 이것이 정상입니까?

다음은 로그의 일부입니다.

-- Logs begin at Mon 2019-04-08 22:51:43 CEST, end at Tue 2019-04-09 09:31:32 CE
ST. --
Apr 09 08:01:49 vps668970 sshd[4559]: Disconnected from 173.249.50.217 port 4333
8 [preauth]
Apr 09 08:02:21 vps668970 sshd[4561]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217  user=root

Apr 09 08:02:23 vps668970 sshd[4561]: Failed password for root from 173.249.50.2
17 port 34630 ssh2
Apr 09 08:02:23 vps668970 sshd[4561]: Received disconnect from 173.249.50.217 po
rt 34630:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:23 vps668970 sshd[4561]: Disconnected from 173.249.50.217 port 3463
0 [preauth]
Apr 09 08:02:54 vps668970 sshd[4563]: pam_unix(sshd:auth): authenticatio
n failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=173.249.50.217  user=root

Apr 09 08:02:56 vps668970 sshd[4563]: Failed password for root from 173.249.50.2
17 port 54154 ssh2
Apr 09 08:02:56 vps668970 sshd[4563]: Received disconnect from 173.249.50.217 po
rt 54154:11: Normal Shutdown, Thank you for playing [preauth]
Apr 09 08:02:56 vps668970 sshd[4563]: Disconnected from 173.249.50.217 port 5415
4 [preauth]
Apr 09 08:03:23 vps668970 kernel: [UFW BLOCK] IN=ens3 OUT= MAC=fa:16:3e:

답변1

예, 이는 정상입니다.

다음과 같은 흥미로운 시만텍 기사를 읽어 보십시오.악의적인 SSH 로그인 시도 분석".

4월 1일 이후 내 서버에서 발생한 로그인 시도 실패 횟수와 상위 20개 계정 이름은 다음과 같습니다.

   2919 root
    194 admin
    122 test
     83 zabbix
     67 user
     66 ftpuser
     65 postgres
     60 mysql
     58 nagios
     49 ubuntu
     44 www-data
     43 pi
     42 support
     42 oracle
     39 jboss
     36 guest
     34 usuario
     33 tomcat
     32 dell
     30 www
  • 2182개의 서로 다른 계정 이름을 사용하여 총 9872번의 시도가 이루어졌습니다.
  • 분당 0.8회 시도.

rootSSH 로그인이 비활성화되고 나머지 모든 계정 이름이 존재하지 않거나 쉘 역할을 하지 /usr/sbin/nologin않습니다 . /bin/false그러니 걱정할 것이 없습니다.

fail2ban가능한 모든 시도를 줄이기 위해 설치해 보았지만 , fail2ban시도가 IP 주소가 많은 봇넷에서 들어오고, IP ​​주소에서 작동하기 때문에 잘 작동하지 않습니다.

시도 횟수를 줄이는 다음 가능한 옵션은 포트를 변경하는 것입니다 ssh.

이 정보를 수집하는 명령:

grep -ho 'Failed password for .*' /var/log/auth.log{,.1} \
  | awk '{if ($4=="invalid") { print $6 } else { print $4 } }' \
  | sort | uniq -c | sort -nr | head -n20

관련 정보