服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Ubuntu服务器攻击? 怎么解决?
Intereting Posts
nginx用wordpress重写链接 primefaces复制多个目录 如何判断是否有任何MySQL连接已被删除或超时? 在Ubuntu上永远是nodejs +的简单新贵脚本 networking电缆拔出时本地服务不可用 为什么ping Google服务器和Google DNS如此之低? 将用户configuration文件迁移到新的Active Directory帐户 VMware ESXI cpu和内存添加 无法阻止垃圾邮件IP Kolab 16. 389-DS无法启动。 连接到存储服务器在Roundcube中失败的错误 与asp.net的Windows身份validation问题 Zabbix“应用程序”监控 – 如何检测“挂起”冻结的应用程序 SmartOS自发地重新启动 我怎样才能看到每个Apache虚拟主机使用多less带宽? 与Apache用户打开文件时出现问题

Ubuntu服务器攻击? 怎么解决?

Something(Someone)正在发送从我们的整个IP范围发送的UDP数据包。 这似乎是多播DNS。

我们的服务器主机提供了这个(我们的IP地址被屏蔽了XX): 

Jun 3 11:02:13 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=53 Jun 3 11:02:23 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=53 Jun 3 11:02:32 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=53 Jun 3 11:02:35 webserver kernel: Firewall: *UDP_IN Blocked* IN=eth0 OUT= MAC=01:00:5e:00:00:fb:00:30:48:94:46:c4:08:00 SRC=193.23X.21X.XX DST=224.0.0.251 LEN=73 TOS=0x00 PREC=0x00 TTL=255 ID=0 DF PROTO=UDP SPT=5353 DPT=5353 LEN=53

我检查了我的/var/log/auth.log文件,发现中国的某个人(使用ip-locator)试图使用ssh访问服务器。 

 ... Jun 3 11:32:00 server2 sshd[28511]: Failed password for root from 202.100.108.25 port 39047 ssh2 Jun 3 11:32:08 server2 sshd[28514]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root Jun 3 11:32:09 server2 sshd[28514]: Failed password for root from 202.100.108.25 port 39756 ssh2 Jun 3 11:32:16 server2 sshd[28516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=202.100.108.25 user=root ...

我用这个命令阻止了IP地址:sudo iptables -A INPUT -s 202.100.108.25 -j DROP

但是,我不知道UDP多播,这是什么? 谁在做? 我怎么能阻止它?

有人知道吗?

坦率地说,为什么呢? 大多数服务器每天都会有数百次扫描和login尝试。 根本不可能手动阻止他们。

你的防火墙似乎在做这个工作。 毕竟这是阻止不必要的stream量。

确保你不要运行任何不需要的服务。 可用的数量越less,闯入的数量就越less。

要保护SSH:请确保您configurationSSH以拒绝root用户login。 validation所有SSH帐户的密码是否强大。 Denyhosts会在几次失败的login尝试之后自动阻止IP(非常有用),但是要确保你将自己的IP范围列入白名单,否则你将有被locking的风险。 另一个非常有效的方法是在不同的端口上运行SSH,因为大多数攻击只能尝试端口22。

我只会在影响您的服务或带宽时采取行动。 检查stream量来自networking的所有者的whois,并向所有者的滥用地址提供清晰友好的投诉。 如果他们没有在合理的时间内回复,请去他们的ISP等。

关于阻止第三方欺骗你的IP地址 – 就像你的发件人地址中的垃圾邮件一样,你没有办法做到这一点。 所有可以做的事情可能已经在你的机器前面的ISP文件夹中完成了。

尽pipe你可以更轻松地阻止sshlogin尝试。 Denyhosts (我在我的所有服务器上使用)或类似的fail2ban (不仅仅是SSH)都扫描日志文件,在“太多”尝试login后,将阻止IP地址(我通常只是按照DenyHosts的做法,并添加IP地址到/etc/hosts.deny)

UDP很容易欺骗源地址,数据包可能来自任何地方。 有人可能会伪造一个数据包到您的广播地址。 过滤端口5353传入和传出,多播DNS应该是本地的。 在防火墙上过滤广播地址。 将出站stream量过滤到目标地址,以确保您不是发送stream量的人员。

这看起来像是去年在DNS上运行的放大攻击。 这些是通过伪造源地址来完成的。 如果是这样的话,你才是真正的目标。