(为了更less的上下文,跳到最后)
我有一个CentOS 6盒子,采取了一些安全措施 – 禁用了rootlogin,强大的密码以及FTP和SSH用户白名单,并安装了fail2ban。 我得到SSH,FTP和SMTP尝试login的“通常”级别,所有fail2ban的处理都令人满意。 不幸的是,我无法更改SSH端口号或强制执行密钥,虽然它在我的名单上,如果可能的话。
今天我注意到一个更严重的攻击。 我以前没见过的东西。 相同的IP反复尝试在SSH上进行rootlogin,但它是随机的端口(每次最多3次尝试),而不会被fail2ban禁止 – 我认为这是因为随机端口号。
在对/var/log/secure进行一些调查之后,似乎在几个小时内就尝试了22K次,所以我手工添加了一条规则给iptables,以便从该IP中删除所有内容。
sshd: Failed password for invalid user root from xxxx port 48811 ssh2
我不知道攻击者在这里试图完成什么 – 他在寻找开放的端口,试图暴力破解SSH还是端口敲打? 除了手动禁止攻击者之外,我不知道该怎么做,或者在哪里寻找更多信息。
TL; DR
在一个* nix系统中,我应该在哪里寻找攻击的证据,我应该如何解释这些信息来通知我做了什么?
您在消息中看到的端口号是其源端口号,而不是目标端口号。 在大多数TCP实现中,当连接到任何服务器时,源端口号是一些随机的高端口。 这也是他可以随时改变的原因。
如果他通过连接到达SSH服务器,并且您的SSH服务器只在端口22上侦听,那么您可以确定他正在连接到端口22(这意味着目标端口设置为22)。
以下是TCP中源端口和目标端口的描述: http : //en.wikipedia.org/wiki/Transmission_Control_Protocol
我应该在哪里寻找攻击的证据,我应该如何解释这些信息来告知我做了什么?
你真的打算付钱给你看日志24×7吗? 这种攻击非常普遍(正如扫描打开的SMTP中继和HTTP代理)。 尽pipe端口敲击是保护SSH访问的一种简单方法,但对于SMTP或HTTP来说,这不是一个非常实用的解决scheme。
另一种方法是使用fail2ban – 这实现了一个临时iptables禁止行为不端的IP地址,并预先configuration了攻击检测。