直接管理者のブルートフォースモニターに問題があります。毎分私はこのような情報を得ます:
15705610210001 52.187.17.107 123 1 sshd4 Oct 8 20:56:24サーバーsshd [10817]:52.187.17.107ポート40775 ssh2からの無効なユーザー123のパスワードの失敗
15705610210000 176.31.253.55 Titanic123 1 sshd4 Oct 8 20:56:02サーバーsshd [10808]:176.31.253.55ポート35368 ssh2からの無効なユーザーTitanic123のパスワードの失敗
15705609610001 45.125.65.34インターネット1 exim2 2019-10-08 20:55:18(ユーザー)のログイン認証に失敗しました[45.125.65.34]:535不正な認証データ(set_id = internet)
15705609610000 80.211.180.23 qazWSX 1 sshd4 Oct 8 20:55:21 server sshd [10799]:80.211.180.23ポート40812 ssh2からの無効なユーザーqazWSXのパスワードの失敗
15705609010000 138.197.89.212 root 1 sshd5 Oct 8 20:54:15 server sshd [10784]:138.197.89.212ポート33528 ssh2からのrootのパスワードの失敗
15705608410001 51.254.99.208 root 1 sshd5 Oct 8 20:53:56 server sshd [10776]:51.254.99.208ポート42610 ssh2からのrootのパスワードの失敗
15705608410000 194.182.86.133 root 1 sshd5 Oct 8 20:53:31 server sshd [10770]:194.182.86.133ポート38058 ssh2からのrootのパスワードの失敗
15705607810002 45.125.65.58マーケット1 exim2 2019-10-08 20:52:50(ユーザー)のログイン認証に失敗しました[45.125.65.58]:535不正な認証データ(set_id = market)
Fail2banとCSFをインストールしました。 CSFはBFMで自動的にブロックする必要があります。
ポートsshが変更されました。私のポートdirectadminが変更されました。
Ssh設定:MaxAuthTries 3 MaxSessions 5
CSF内:IGNORE_ALLOW = "1"
ポートを許可:2109、9009、53のtcp、80、443、20、21、25、110、143、587、993、995、3306 tcp out 2109、9009、80、113、443、20、21、25、110、3306 udp in 53、20、21 udp out 53、113、123、 20,21
CC_DENY:CN、IN、RU、VN、AR、TR、LV、BY、JP、EC、MY、TW、KR
LF_SSHDなどセット3。
このブルートフォース攻撃をどのように保護して排除できますか?
fail2banログ:
2019-10-08 21:01:29,037 fail2ban.actions [1487]:通知[sshd] 194.182.86.133はすでに禁止されています
2019-10-08 21:01:30,385 fail2ban.filter [1487]:INFO [sshd]見つかりました194.182.86.133
2019-10-08 21:01:37,604 fail2ban.filter [1487]:INFO [sshd]見つかりました110.49.70.240
2019-10-08 21:01:38,045 fail2ban.actions [1487]:通知[sshd]禁止110.49.70.240
2019-10-08 21:01:38,151 fail2ban.action [1487]:エラーiptables -w -n -L INPUT | grep -q 'f2b-sshd [\ t]'-標準出力:b ''
2019-10-08 21:01:38,151 fail2ban.action [1487]:エラーiptables -w -n -L INPUT | grep -q 'f2b-sshd [\ t]'-stderr:b ''
2019-10-08 21:01:38,151 fail2ban.action [1487]:エラーiptables -w -n -L INPUT | grep -q 'f2b-sshd [\ t]'-1を返しました
2019-10-08 21:01:38,151 fail2ban.CommandAction [1487]:エラーインバリアントチェックに失敗しました。正常な環境を復元しようとしています
2019-10-08 21:01:38,256 fail2ban.action [1487]:エラーiptables -w -D INPUT -p tcp -m multiport --dports ssh、2109、sftp -j f2b-sshd iptables -w -F f2b- sshd iptables -w -X f2b-sshd-stdout:b ''
2019-10-08 21:01:38,257 fail2ban.action [1487]:エラーiptables -w -D INPUT -p tcp -m multiport --dports ssh、2109、sftp -j f2b-sshd iptables -w -F f2b- sshd iptables -w -X f2b-sshd-stderr:b "iptables v1.6.0:ターゲットをロードできませんでしたf2b-sshd':No such file or directory\n\nTry
iptables -hまたは詳細については「iptables --help」。\ niptables:その名前によるチェーン/ターゲット/一致なし。\ niptables:その名前によるチェーン/ターゲット/一致なし。\ n "
2019-10-08 21:01:38,257 fail2ban.action [1487]:エラーiptables -w -D INPUT -p tcp -m multiport --dports ssh、2109、sftp -j f2b-sshd iptables -w -F f2b- sshd iptables -w -X f2b-sshd-返された1
2019-10-08 21:01:38,257 fail2ban.actions [1487]:エラー禁止刑務所 'sshd'アクション 'iptables-multiport' info 'CallingMap({' matches ':' Oct 8 19:29:42 serverの実行に失敗しましたsshd [5972]:pam_unix(sshd:auth):認証失敗;ログ名= uid = 0 euid = 0 tty = ssh ruser = rhost = 110.49.70.240 user = root\n10月8日
19:29:43 server sshd [5972]:110.49.70.240ポート31718からのrootのパスワードの失敗ssh2\n10月8 21:01:37 server sshd [19799]:pam_unix(sshd:auth):認証失敗。 logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 110.49.70.240 user = root '、' ipjailfailures ':。 at 0x7f858c6379d8>、 'failures':3、 'ipmatches':。 at 0x7f858d696510>、 'ip': '110.49.70.240'、 'time':1570561298.0458193、 'ipfailures':。 0x7f858c637510>、 'ipjailmatches':で。 at 0x7f858c637620>}) ':アクションの停止エラー
2019-10-08 21:01:39,734 fail2ban.filter [1487]:INFO [sshd]見つかりました110.49.70.240
正直なところ、sshサーバーがポート転送されている場合、これらの攻撃を阻止するためにできることはほとんどありません。強力なパスワードを使用し、一般的なユーザー名は使用しないでください。また、ご覧のとおり、Fail2BanはサーバーのSSHをブルートフォース攻撃から保護しています。また、IPTablesまたはFail2Banが壊れている可能性があり、IPを適切に禁止していないようです。
ERROR Invariant check failed. Trying to restore a sane environment
またはCouldn't load target 'f2b-sshd':No such file or directory
が表示されている場合は、次のことを意味しています。
iptables-save
で始まる名前のチェーンにはiptables-restore
/f2b-
を使用してください);