কেউ কি আমার সার্ভারে হ্যাক করার চেষ্টা করছে? আমি কি করতে পারি?

কয়েক সপ্তাহ আগে আমি sshএকটি উবুন্টু 12.04 বাক্স নিয়ে যা কিছু সমস্যা ছিল সে সম্পর্কে আমি এখানে একটি প্রশ্ন পোস্ট করেছি। আজকের দিকে দ্রুত এগিয়ে যেতে এবং আমি অন্য কাউকে মেশিনে অ্যাক্সেসের অনুমতি দেওয়ার চেষ্টা করছি তবে তারা পাসওয়ার্ডের ত্রুটি পেতে থাকে। আমি var/logs/auth.logআরও তথ্যের জন্য চেকআউট করেছি এবং এটি পেয়েছি:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

আমার প্রায় 10000 লাইন রয়েছে যা সবাই কমবেশি একই জিনিস বলে মনে হয় (এখানে 4 টি auth.log.gz ফাইলও রয়েছে, যা আমি ধরে নিচ্ছি যে আরও একই রকম?)। কখনও কখনও অনুরোধের সাথে একটি এলোমেলো ব্যবহারকারীর নাম সংযুক্ত থাকে,input_userauth_request: invalid user bash [preauth]

সার্ভার সম্পর্কে আমি খুব বেশি জানি না, তবে দেখে মনে হচ্ছে কেউ আমার অ্যাক্সেস পাওয়ার চেষ্টা করছে।

উবুন্টুতে কীভাবে কোনও আইপি ঠিকানা ব্লক করতে হয় সে সম্পর্কে চারপাশে গুগল করা হয়েছিল এবং এটি দিয়ে শেষ হয়েছিল: iptables -A INPUT -s 211.110.xxx.x -j DROPতবে এই আদেশটি চালানোর পরে এবং লগগুলি পরীক্ষা করার পরেও আমি প্রতি 5 সেকেন্ডে এই একটি আইপি থেকে অনুরোধ পাচ্ছি।

কী চলছে তা সম্পর্কে আমি আরও কীভাবে জানতে পারি এবং এই ধ্রুবক অনুরোধগুলি মোকাবেলা করতে পারি?

আপনি যা বর্ণনা করছেন তা থেকে এটি আপনার সার্ভারে একটি স্বয়ংক্রিয় আক্রমণ হিসাবে দেখায়। বেশিরভাগ আক্রমণগুলি হ'ল, যদি না আক্রমণকারী আপনাকে ব্যক্তিগতভাবে চিনে এবং কোনও হতাশায় ধরে না থাকে ...

যাইহোক, আপনি অস্বীকারকারীদের অনুসন্ধান করতে চাইতে পারেন, যা আপনি সাধারণ ভান্ডার থেকে পেতে পারেন। এটি বারবার প্রচেষ্টা বিশ্লেষণ করতে পারে এবং তাদের আইপি ঠিকানাটি ব্লক করবে। আপনি এখনও আপনার লগগুলিতে কিছু পেতে পারেন তবে এটি কমপক্ষে কোনও সুরক্ষা উদ্বেগ প্রশমিত করতে সহায়তা করবে।

আরও তথ্য পাওয়ার জন্য, আমি সত্যিই বিরক্ত করব না। যদি না তারা অপেশাদার না হয় তবে তারা তাদের নোংরা কাজ করতে রিমোট সার্ভার ব্যবহার করবে যা তারা আসলে কে সে সম্পর্কে আপনাকে কিছুই জানায় না। আপনার সেরা বাজি হ'ল আইপি রেঞ্জের অ্যাডমিন সন্ধান করা (এখানে WHOIS আপনার বন্ধু), এবং তাদের জানান যে আপনি সেই আইপি থেকে প্রচুর অ্যাক্সেসের প্রচেষ্টা পেয়ে যাচ্ছেন। তারা এটি সম্পর্কে কিছু করার জন্য যথেষ্ট ভাল হতে পারে।

আপনি আপনার লগগুলিতে এই ব্যর্থ লগইন প্রচেষ্টা দেখতে চান না যাতে আপনার এই আইপিটি নেটওয়ার্কে ফিল্টার করা উচিত।

আপনার যদি নিজের রাউটার বা হার্ডওয়্যার ফায়ারওয়াল থাকে (সার্ভারে নেই তবে) এই আইপিটি ব্লক করতে এটি ব্যবহার করুন। আপনি আপনার ইন্টারনেট সরবরাহকারীকে এটি ব্লক করতেও বলতে পারেন।

সার্ভারটি যদি ভিপিএস হয় তবে আপনার ভিপিএস সরবরাহকারীকে এই আইপিটি ব্লক করতে বলুন। বেশিরভাগ ক্ষেত্রে তারা সাহায্যের জন্য আপনার অনুরোধটি প্রত্যাখ্যান করবে না, কারণ এতে তাদের কোনও মূল্য ব্যয় করতে হবে না।

বিভিন্ন আইপি থেকে আসা আক্রমণটির তুলনায় একক আইপি থেকে আক্রমণগুলি সহজেই হ্রাস করা যায়। বিতরণ করা আক্রমণ থেকে রক্ষা করার জন্য আপনাকে নেটওয়ার্ক সরবরাহকারীর কাছ থেকে বিশেষ পরিষেবা দরকার যা আপনাকে দিতে হবে। সার্ভার স্তরে আপনি ড্যানিহোস্টস বা ফেইল 2ban এর সাথে লড়াই করতে পারেন। Fail2ban কেবল ssh নয় অন্যান্য পরিষেবাগুলিও সুরক্ষা দেয়। এটি আরও কিছুটা স্মৃতি ব্যবহার করে। Fail2ban আইপিগুলিকে অবরুদ্ধ করার জন্য আইপটবেলগুলি ব্যবহার করে এবং DenyHosts ফাইল হোস্ট.ডেনি ব্যবহার করে, উভয়ই দূষিত প্রচেষ্টা সন্ধান করতে লগ ব্যবহার করে। লগগুলিতে নির্ভর করে না এমন ssh প্রচেষ্টা রেট সীমিত করার জন্য আপনি iptables কনফিগার করতে পারেন।

উপরের সমস্ত ভাল উত্তর, তবে ...

আপনি লিখেছেন "আমি অন্য কাউকে মেশিনে প্রবেশের অনুমতি দেওয়ার চেষ্টা করছি, তবে তারা পাসওয়ার্ডের ত্রুটি পেতে থাকে"

যেহেতু আমাদের মধ্যে বেশিরভাগ সীমাবদ্ধ সরবরাহকারী ডিএনএস ইজারা সময় সহ একটি গতিশীল আইপিতে রয়েছে, আমরা বেশিরভাগ রাস্তায় চলার সময় আমাদের সার্ভারটি অ্যাক্সেস করার জন্য একটি গতিশীল ডিএনএস পরিষেবা ব্যবহার করি। এটি কি এমন হতে পারে যে আপনার দূরবর্তী ব্যবহারকারীও আপনাকে পেতে এই জাতীয় পরিষেবা ব্যবহার করছেন এবং এটিই আপনি যে আইওপি ঠিকানাটি দেখছেন?

বিটিডাব্লু - অনেকগুলি হোম সার্ভার ব্যবহারকারীরা যা করেন তা হ'ত অনেকগুলি "পোর্ট ট্যাপিং" আপনার উপর নির্ভর করে, তারা ডিফল্ট বিতরণ অবস্থার লগইন আইডি পরিবর্তন করে না। (প্রায়শই "অ্যাডমিন" !!) এবং পাসওয়ার্ডের সমস্ত সম্ভাব্য সংমিশ্রণের মাধ্যমে আগুন জ্বালিয়ে দিন

আমি মনে করি আপনি দেখতে পাবেন যে 99% হ্যাকিং প্রচেষ্টা চীন থেকে এসেছে। এটি আমি খুঁজে পেয়েছি। এটি হাইকিংয়ের জন্য চীনা আইপি এর প্রতিবেদনহীন, এটি সম্ভবত রাষ্ট্র অনুমোদিত ction আমি কেবল আইপিটিকে অবরুদ্ধ করি না, আইপিটি যে রেঞ্জের মধ্যে রয়েছে তা আমি অবরুদ্ধ করে দিয়েছি your এই পৃষ্ঠাটি আপনাকে দেশ অনুসারে আইপি ব্লকের একটি তালিকা দেবে (সবার সাথে একটি টর.gz ফাইল রয়েছে): http://www.ipdeny.com/ipblocks/data/countries । WHOIS ওয়েব পৃষ্ঠা https://whois-search.com/ আপনাকে কোন দেশটি দেখতে হবে সে হিসাবে আপনাকে একটি ভাল সূচনা দেয়।

1st। আপনার সার্ভারে নেট থেকে কখনই স্ট্যান্ডার্ড পোর্টগুলি খোলার দরকার নেই। 53846 এর মতো এলোমেলো বন্দরটি খুলতে রাউটারটি সেট আপ করুন এবং এটি 22 মেশিনের পোর্টে ফরোয়ার্ড করুন।

সুযোগ হ্যাকাররা 22 এর মতো পরিচিত পোর্টগুলির জন্য বিস্তৃত আইপি ঠিকানা স্ক্যান করতে পারে এবং ট্রাইটো শোষণ করতে পারে।

2 য় তাকে পিছনে আঘাত। তাকে এনএম্যাপ করুন এবং তিনি কী চলছেন তা সন্ধান করুন। তারপরে তার অ্যাক্সেস পাওয়ার চেষ্টা করুন। ঠিক যেমন ফায়ার ফায়ার। যদি সে জানে আপনি তার কাছে আছেন হেম থামতে পারে।

আপনিও তাকে সতর্কতার শটের মতো পাগলের মতো পিপ করতে পারেন।

3 তম। যদি আপনি কিছু মজা করতে চান তবে আপনি অতিথির অ্যাকাউন্টটি ক্যানোপেন করতে পারেন। নিশ্চিত করুন যে এখানে কোনও প্রাইভেলিজ নেই। অতিথিদের হোম ডিরেক্টরিতে এটি সীমাবদ্ধ করুন। যদি আপনি সুন্দর পেতে চান না তবে আপনি চারপাশে একটি জাল রুট ডিরেক্টরি কাঠামো সেট আপ করতে পারেন। পাসওয়ার্ডটিকে সাধারণ হিসাবে বা কোনও পাসওয়ার্ড হিসাবে সেট করুন him লগ ইন করুন let

তারপরে আপনি রাইট কমান্ডটি ব্যবহার করতে পারেন এবং তাকে জিজ্ঞাসা করতে পারেন যে তিনি কেন আপনার বিভাজনকে হাতুড়ি দেওয়ার জন্য জোর দিয়েছিলেন।