한 고객이 SSH 공격으로 인해 공급자가 서버를 종료한다고 이메일을 통해 나에게 알렸습니다.
서버에 접속해 보니 /tmp에 ssh-scan 프로세스가 많고 이상한 파일도 많이 있는 것을 발견했습니다. 어떻게 해야할지 몰랐기 때문에 전원을 꺼야 했습니다. 서버를 재구축하기 전에 이러한 일이 어떻게 발생했는지 확인하여 이러한 일이 다시 발생하지 않도록 할 수 있는 방법이 있습니까?
답변1
SSH 스캔은 일반적으로 무차별 대입 공격입니다. 그들은 단지 일반적인 사용자 이름과 간단하고 일반적인 비밀번호를 사용하려고 합니다. guest비밀번호가 "guest"인 계정을 사용하여 시스템이 손상되는 것을 본 적이 있습니다 . 한숨을 쉬다.
대부분의 기계에는 항상 이와 같은 백이 뿌려집니다. 포괄적인 솔루션으로서 저는 방화벽에서 두 가지 작업을 수행하고 싶습니다.
특정 국가에서만 포트 22/tcp를 사용
geoip하고 이에 대한 액세스를 허용합니다. 예를 들어, 이러한 공격 중 비정상적으로 높은 비율이 네트워크 블록에서 발생합니다.ipset.cn22/tcp
SYN패킷에 속도 제한을 사용하여 동일한 IP 주소가 10분 또는 15분 동안 차단되기 전에 분당 N번만 연결할 수 있도록 합니다. 이렇게 하면 검색 소프트웨어가 차단되고 다른 사람의 네트워크에 대한 잠재적인 손상도 느려집니다. 이것은 커뮤니티 서비스입니다.
귀하의 필요와 제한 사항에 따라 다른 방법이 있습니다.
대상 머신 자체에서도 시스템 계정을 잠그고 단순 비밀번호(단어 목록 확인, 최소 길이 등)를 금지하는 비밀번호 정책을 구현해야 합니다.
답변2
웹 서버 로그에서 오류 패턴과 액세스 로그를 확인하세요. 오류 로그부터 시작하십시오. 무차별 로그인 공격에 사용되는 auth.log와 동일합니다. SSH를 통해 동일한 웹 애플리케이션이나 비밀번호를 사용하여 서버를 다시 생성하는 경우 며칠만 지나면 다시 해킹당할 수 있습니다.