Qualche settimana fa ho postato qui una domanda su alcuni ssh problemi che stavo riscontrando con una scatola di Ubuntu 12.04. Avanti veloce fino ad oggi e sto cercando di consentire a qualcun altro di accedere alla macchina, ma continuano a ricevere errori di password. Controllo var/logs/auth.log per maggiori informazioni, e ho trovato questo:
May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x
Ho quasi 10000 righe che sembrano dire più o meno la stessa cosa (ci sono anche 4 file auth.log.gz, che presumo siano più o meno gli stessi?). A volte c'è un nome utente casuale allegato alla richiesta, input_userauth_request: invalid user bash [preauth]
Non so molto di server, ma sembra che qualcuno stia cercando di accedere al mio.
Ho cercato su Google come bloccare un indirizzo IP in Ubuntu e ho finito con questo:iptables -A INPUT -s 211.110.xxx.x -j DROP , ma dopo aver eseguito quel comando e aver controllato i log, ricevo ancora richieste da questo IP ogni 5 secondi.
Come posso saperne di più su cosa sta succedendo e gestire queste continue richieste?
Risposta accettata:
Da quello che descrivi, sembra un attacco automatico al tuo server. La maggior parte degli attacchi lo sono, a meno che l'attaccante non ti conosca personalmente e porti rancore...
Ad ogni modo, potresti voler esaminare i negati host, che puoi ottenere dai soliti repository. Può analizzare tentativi ripetuti e bloccherà il loro indirizzo IP. Potresti comunque ottenere qualcosa nei tuoi log, ma aiuterà almeno a mitigare eventuali problemi di sicurezza.
Per quanto riguarda ottenere maggiori informazioni, non mi preoccuperei davvero. A meno che non siano dilettanti, utilizzeranno un server remoto per fare il loro lavoro sporco che non ti dirà nulla su chi sono veramente. La soluzione migliore è trovare l'amministratore per l'intervallo IP (WHOIS è tuo amico qui) e far sapere loro che stai ricevendo molti tentativi di accesso da quell'IP. Potrebbero essere abbastanza bravi da fare qualcosa al riguardo.
Correlati:il modo più semplice per configurare Ubuntu come server VPN in Ubuntu?