誰かが私のサーバーにハッキングしようとしていますか？私に何ができる？

数週間前ssh、Ubuntu 12.04ボックスで発生していた問題について質問を投稿しました。今日に早送りし、私は他の誰かにマシンへのアクセスを許可しようとしていますが、パスワードエラーが発生し続けます。私はvar/logs/auth.log詳細をチェックアウトし、これを見つけました：

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

私は、ほぼ同じことを言っているように見えるほぼ10000行を持っています（4つのauth.log.gzファイルもありますが、これはもっと同じだと思いますか？）。リクエストにランダムなユーザー名が添付されている場合がありますが、input_userauth_request: invalid user bash [preauth]

サーバーについてはあまり知りませんが、誰かが私のサーバーにアクセスしようとしているようです。

UbuntuでIPアドレスをブロックする方法を探して、次のようになりました：がiptables -A INPUT -s 211.110.xxx.x -j DROP、そのコマンドを実行してログを確認した後、この1つのIPから5秒ごとにリクエストを受け取っています。

これらの絶え間ないリクエストにどう対処し、どのように対処したらよいでしょうか？

あなたの説明から、それはあなたのサーバーに対する自動化された攻撃のように見えます。ほとんどの攻撃は、攻撃者があなたを個人的に知り、grみを抱いている場合を除き...

とにかく、通常のリポジトリから取得できるdenyhostsを調べたいかもしれません。繰り返し試行を分析でき、IPアドレスをブロックします。それでもログに何かが記録される場合がありますが、少なくともセキュリティ上の問題を軽減するのに役立ちます。

より多くの情報を得るために、私は本当に気にしません。彼らがアマチュアでない限り、彼らは彼らが本当に誰であるかについてあなたに何も教えない彼らの汚い仕事をするためにリモートサーバーを使用するでしょう。あなたの最善の策は、IP範囲の管理者を見つけて（ここではWHOISがあなたの友人です）、そのIPから多くのアクセス試行を受けていることを彼らに知らせることです。彼らはそれについて何かをするのに十分かもしれません。

この失敗したログイン試行をログに表示したくないので、ネットワークでこのIPをフィルタリングする必要があります。

独自のルーターまたはハードウェアファイアウォール（サーバー上のファイアウォールではない）がある場合は、それを使用してこのIPをブロックします。インターネットプロバイダーにブロックを依頼することもできます。

サーバーがVPSの場合は、VPSプロバイダーにこのIPをブロックするよう依頼してください。ほとんどの場合、彼らはあなたの助けのリクエストを拒否しません。

単一のIPからの攻撃は、多くの異なるIPからの攻撃と比較して簡単に軽減できます。分散攻撃から保護するには、ネットワークプロバイダーからの特別なサービスが必要です。サーバーレベルでは、DenyhostsまたはFail2banと戦うことができます。Fail2banは、sshだけでなく他のサービスも保護します。少し多くのメモリを使用します。Fail2banはiptablesを使用してIPをブロックし、DenyHostsはファイルhosts.denyを使用し、どちらもログを使用して悪意のある試みを見つけます。ログに依存しないsshの試行を制限するiptablesを構成することもできます。

ただし、上記のすべての良い答え...

あなたは書いた「私はマシンに他の誰かのアクセスを許可しようとしていますが、彼らは、パスワードのエラーを取得しておきます」

私たちのほとんどは、プロバイダーのDNSリース時間が制限された動的IPを使用しているため、私たちのほとんどは、外出中に動的DNSサービスを使用してサーバーにアクセスします。あなたのリモートユーザーもあなたに到達するためにそのようなサービスを使用していて、それがあなたが見ているIOPアドレスだということでしょうか？

ところで-多くの「ポートタップ」ハッカーは、多くのホームサーバーユーザーが行うこと、つまりデフォルトの配信状態のログインIDを変更しないことをあなたに依存しています。（多くの場合「admin」!!）そして、パスワードのすべての可能な組み合わせを介して起動します

ハッキングの試みの99％が中国からのものであることがわかると思います。これは私が見つけたものです。おそらく国家の認可を受けているので、ハッキングのために中国のIPを報告するのは無意味です。IPのみをブロックするのではなく、IPの範囲をブロックします。ルーターの「サブネット」オプションを使用するか、LinuxボックスのIPTablesを使用して、サブネットまたは「/ bits」を使用します（例：/ 24）。このページはあなたに国別のIPブロックのリストが表示されます（すべてでtar.gzファイルがあります）：http://www.ipdeny.com/ipblocks/data/countries。WHOIS Webページhttps://whois-search.com/を見ると、どの国を調べればよいかがわかります。

1日 ネットへのサーバーへの標準ポートを決して開く必要がない限り。53846などのランダムポートを開くようにルーターを設定し、そのマシンのポート22に転送します。

機会ハッカーは、22のような既知のポートの広範なIPアドレスをスキャンし、悪用を試みることができます。

2回目は彼を打ち返した。彼をマップして、彼が何を実行しているかを調べます。その後、彼にアクセスしてみてください。火を返すように。彼があなたのことを知っているなら、彼は止まるかもしれません。

また、警告ショットのように狂ったように彼をpingすることができます。

3位 楽しみたい場合は、ゲストアカウントを開くことができます。特権がまったくないことを確認してください。ゲストのホームディレクトリに制限します。キュートになりたい場合は、実行用に偽のルートディレクトリ構造を設定できます。パスワードを一般的なパスワードまたはパスワードなしに設定し、ログインさせます。

次に、writeコマンドを使用して、なぜ彼があなたのサーバーを叩くと主張するかを彼に尋ねることができます。