ホビーサーバー上の複数のサービスとポートへの体系的な攻撃(NATを通過)
- Fedora25サーバーの新規インストール
- NATルールが少ないルーターの背後にあるサーバー
- 何百もの異なるIP /ポートからの多くのSSHログイン試行(絶えず変化する)
- 最近、nginx(dockerインスタンスで実行)に対する攻撃/エクスプロイトもログに表示されます。
ログからのいくつかの例:
error: maximum authentication attempts exceeded for invalid user root from 88.14.203.97 port 56548 ssh2 [preauth]
error: Received disconnect from 52.221.236.126 port 62639:3: com.jcraft.jsch.JSchException: Auth fail [preauth]
[error] 6#6: *138 open() "/usr/share/nginx/html/Nice ports,/Trinity.txt.bak" failed (2: No such file or directory), client: 77.77.211.78, server: localhost, request: "GET /Nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0"
インストール時に、証明書を使用したSSHログインのみを許可する(パスワードなし、rootなし)など、基本的な強化策を実行しました。
質問
- 攻撃者は、NATで構成されていない、LAN上のさまざまなポートにどのように到達できますか? UPnP…?
- これらのブラインド攻撃をブロック/停止することは可能ですか?
追加の関連情報
新しく登録したドメイン名でダイナミックDNSサービスfreedns.afraid.orgを使用しています。
攻撃者は、NATで構成されていない、LAN上のさまざまなポートにどのように到達できますか? UPnP…?
これは、サーバーが危険にさらされているか、UPnPポートによって外部接続が開かれている場合にのみ可能です。転送ルールを作成するときに、LAN側にある特定のIPに転送するポートまたはポートの範囲を指定できます。また、外部ポートを異なる値のローカルポートに変更(置換)したり(外部ポート3456をローカルポート22に転送)、1対1の転送を設定したり(外部22から内部22に)することもできます。つまり、簡単に言えば、ファイアウォールで開いたポートのみがLAN上の特定のIPに転送されます。
サーバーをDMZゾーンに設定すると、サーバーはすべてのポートでインターネットに完全に公開されます。これにより、すべてのポートを外部接続に使用できるようになります。
脆弱なルーターの このリスト も確認してください。ルーター自体がハッキングされた場合、それはもはやあなたのネットワークではありません。
これらのブラインド攻撃をブロック/停止することは可能ですか?
同様の質問と 次の回答 このようなスキャンの試行を保護および削減する方法を確認してください。
ログに表示されているポートは、宛先ポートではなく、攻撃者の送信元ポートです。したがって、システムでこれらのポートが開かれているわけではなく、攻撃者がそれらを介してシステムに到達しているわけでもありません。
たとえば、ssh用にポート22を開いたと仮定すると、ログでsshサービスへの攻撃が他のポート(56548)に向かっていることがわかります。