Beberapa minggu yang lalu saya memposting pertanyaan di sini tentang beberapa ssh masalah yang saya alami dengan kotak Ubuntu 12.04. Maju cepat ke hari ini dan saya mencoba mengizinkan orang lain mengakses mesin, tetapi mereka terus mendapatkan kesalahan kata sandi. Saya keluar dari var/logs/auth.log untuk info lebih lanjut, dan temukan ini:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
Saya memiliki hampir 10.000 baris yang semuanya sepertinya mengatakan hal yang kurang lebih sama (ada juga 4 file auth.log.gz, yang menurut saya kurang lebih sama?). Terkadang ada nama pengguna acak yang dilampirkan pada permintaan, input_userauth_request: invalid user bash [preauth]
Saya tidak tahu banyak tentang server, tetapi sepertinya seseorang mencoba mendapatkan akses ke server saya.
Mencari di Google tentang cara memblokir alamat IP di Ubuntu dan berakhir dengan ini:iptables -A INPUT -s 211.110.xxx.x -j DROP , tetapi setelah menjalankan perintah itu dan memeriksa log, saya masih mendapatkan permintaan dari IP yang satu ini setiap 5 detik.
Bagaimana cara mengetahui lebih lanjut tentang apa yang terjadi dan menangani permintaan yang terus-menerus ini?
Jawaban yang Diterima:
Dari apa yang Anda jelaskan, sepertinya serangan otomatis di server Anda. Sebagian besar serangan, kecuali penyerang mengenal Anda secara pribadi dan menyimpan dendam…
Bagaimanapun, Anda mungkin ingin melihat ke denyhosts, yang bisa Anda dapatkan dari repo biasa. Itu dapat menganalisis upaya berulang dan akan memblokir alamat IP mereka. Anda mungkin masih mendapatkan sesuatu di log Anda, tetapi setidaknya akan membantu mengurangi masalah keamanan apa pun.
Adapun untuk mendapatkan informasi lebih lanjut, saya benar-benar tidak akan repot. Kecuali mereka seorang amatir, mereka akan menggunakan server jarak jauh untuk melakukan pekerjaan kotor mereka yang tidak akan memberi tahu Anda siapa mereka sebenarnya. Taruhan terbaik Anda adalah menemukan admin untuk rentang IP (WHOIS adalah teman Anda di sini), dan beri tahu mereka bahwa Anda mendapatkan banyak upaya akses dari IP itu. Mereka mungkin cukup baik untuk melakukan sesuatu.
Terkait:Cara termudah untuk Mengatur Ubuntu sebagai Server Vpn di Ubuntu?