ブルートフォース攻撃を検出して接続をブロックする
私のサーバー(Ubuntu + LAMP)は、自分のIPから攻撃されたサイトからセキュリティ警告を受け取っているため、感染しています。
次のIPを持つサーバー/顧客:**********がサーバー/パートナーの1つを攻撃しました。攻撃者は次のメソッド/サービスを使用しました:bruteforcelogin on:*土、** *** 2015 17:15:17 + 0200 *。リストされている時間は、レポートを送信したBlocklistユーザーのサーバー時間からのものです。攻撃はBlocklist.de-Systemに報告されました:*土、** **** 2015 21:27:10 + 0200 *
攻撃を行ったかどうかを検出し、攻撃への発信接続をブロックするツールまたは方法はありますか?または、少なくともアラートを受信しますか?
この問題を軽減する1つの方法は、ネットワークに出力フィルタリングを実装することです。たとえば、ほとんどのWebサーバーは、インターネット上の任意のホストのSSHポートに接続する必要がないため、ファイアウォールでこのトラフィックをブロックすると、システムが攻撃者にとって役に立たなくなります。
また、出力フィルタリングによってシステムのアクティブな制御の確立が困難になるため(これは不可能ではありませんが、少しレベルが上がります)、そもそも侵害のリスクを減らすのに役立ちます。
検出ルートを下げたい場合は、ネットワーク侵入検出システム(例: snort )を使用して、ブルートフォース攻撃などの異常なトラフィックパターンを警告できます。
Fail2banはそのための興味深いツールです。公式wikiページから 1 :
Fail2banはログファイル(例:/ var/log/Apache/error_log)をスキャンし、悪意のある兆候を示すIPを禁止します-パスワードの失敗が多すぎる、エクスプロイトを探すなど。指定された時間の間、他の任意のアクション(たとえば、電子メールの送信)も構成できます。 Fail2Banには、箱から出して、さまざまなサービス(Apache、courier、sshなど)用のフィルターが付属しています。