1
  • Свежая установка Fedora 25 Server
  • Сервер за роутером только с несколькими NAT-правилами
  • Многие попытки входа в SSH с сотен разных IP / портов (постоянно меняющихся)
  • Недавние атаки / эксплойты на nginx (запущенные в экземпляре Docker) также отображаются в журнале.

Несколько примеров из журнала:

error: maximum authentication attempts exceeded for invalid user root from 88.14.203.97 port 56548 ssh2 [preauth]

error: Received disconnect from 52.221.236.126 port 62639:3: com.jcraft.jsch.JSchException: Auth fail [preauth]

[error] 6#6: *138 open() "/usr/share/nginx/html/nice ports,/Trinity.txt.bak" failed (2: No such file or directory), client: 77.77.211.78, server: localhost, request: "GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0"

При установке я прошел через основные меры защиты, включая только вход в SSH с сертификатом (без паролей и без рута).

Вопросы

  • Как злоумышленники могут получить доступ к различным портам в моей локальной сети, не настроенным в NAT? UPnP ...?
  • Можно ли заблокировать / остановить эти слепые атаки?

Дополнительная и, возможно, актуальная информация

Я использую сервис Dynamic DNS freedns.afraid.org с новым зарегистрированным доменным именем.

|источник

2 ответа2

3

Как злоумышленники могут получить доступ к различным портам в моей локальной сети, не настроенным в NAT? UPnP…?

Это возможно, только если ваш сервер был скомпрометирован или внешние порты открыты через порты UPnP. Когда вы создаете правила переадресации, вы можете указать, какой порт или диапазон портов будет перенаправляться на определенный IP-адрес, находящийся на стороне локальной сети. Вы также можете изменить (заменить) внешний порт (ы) на локальные с другими значениями (например, внешний порт 3456 перенаправить на локальный порт 22) или установить переадресацию один к одному (внешний 22 на внутренний 22). Итак, короткий ответ - только порты, которые вы открыли на брандмауэре, будут перенаправлены на определенный IP в локальной сети.

Если вы устанавливаете свой сервер в зоне DMZ, это означает, что ваш сервер полностью открыт для Интернета со всеми портами; Таким образом, все порты доступны для внешних подключений.

Проверьте также этот список уязвимых маршрутизаторов; если сам маршрутизатор был взломан, то это уже не ваша сеть.

Можно ли заблокировать / остановить эти слепые атаки?

Посмотрите на аналогичный вопрос, а затем ответьте, как обезопасить и уменьшить количество попыток сканирования.

|источник
1

Порты, которые вы видите в журналах, являются исходными портами атакующего, а не целевыми, поэтому это не означает, что эти порты открыты в вашей системе, и злоумышленник не достигает вашей системы через них.

Например, предположив, что вы открыли порт 22 для ssh, в журналах вы можете увидеть, что атаки для службы ssh идут для другого порта (56548).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .