Систематические атаки на несколько сервисов и портов (минуя NAT) на хобби сервере

  • новая установка Fedora 25 Server
  • сервер за маршрутизатором с несколькими NAT-правилами
  • множество попыток входа в SSH с сотен разных IP / портов (постоянно меняющихся)
  • недавние атаки / эксплойты на nginx (запущенном в экземпляре docker) также отображаются в журнале.

несколько примеров из журнала:

error: maximum authentication attempts exceeded for invalid user root from 88.14.203.97 port 56548 ssh2 [preauth]

error: Received disconnect from 52.221.236.126 port 62639:3: com.jcraft.jsch.JSchException: Auth fail [preauth]

[error] 6#6: *138 open() "/usr/share/nginx/html/nice ports,/Trinity.txt.bak" failed (2: No such file or directory), client: 77.77.211.78, server: localhost, request: "GET /nice%20ports%2C/Tri%6Eity.txt%2ebak HTTP/1.0"

Я прошел через основные меры упрочнения при установке, в том числе только позволяя SSH войти с сертификатом (без паролей, без root).

вопросы

  • как злоумышленники могут получить доступ к различным портам в моей локальной сети, не настроенным в NAT? UPnP...?
  • можно ли заблокировать / остановить эти слепые атаки?

дополнительная и, возможно, актуальная информация

Я использую службу динамического DNS freedns.afraid.org с вновь зарегистрированным доменным именем.

27
задан Zumo de Vidrio
31.03.2023 17:28 Количество просмотров материала 2944
Распечатать страницу

2 ответа

как злоумышленники могут получить доступ к различным портам в моей локальной сети, не настроенным в NAT? UPnP ...?

это возможно только в том случае, если ваш сервер был скомпрометирован или внешние соединения были открыты портами UPnP. При создании правил пересылки можно указать, какой порт или диапазон портов будет пересылаться на определенный IP, расположенный на стороне локальной сети. Вы также можете изменить (заменить) внешние порты на локальные с другими значениями(внешний порт 3456 перенаправить на локальный порт 22, например) или установите взаимнооднозначную переадресацию (внешние 22 к внутренним 22). Поэтому короткий ответ - только те порты, которые вы открыли на брандмауэре, будут перенаправлены на определенный IP в локальной сети.

Если вы установили сервер в зоне DMZ, это означает, что ваш сервер полностью открыт для интернета со всеми портами; таким образом, все порты доступны для внешних соединений.

проверить тоже этот список уязвимых маршрутизаторов; если сам роутер был взломан, то это больше не твоя сеть.

можно ли заблокировать / остановить эти слепые атаки?

взгляните на аналогичный вопрос и последовал ответ как обеспечить и уменьшить такие попытки сканирования.

3
отвечен Alex 2023-04-02 01:16

порты, которые вы видите в журналах, являются исходными портами атакующего, а не целевыми, поэтому это не означает, что в вашей системе открыты эти порты, и злоумышленник не достигает вашей системы через них.

например, предполагая, что вы открыли порт 22 для ssh, в логах вы можете видеть, что атаки для ssh сервиса идут на другой порт (56548).

1
отвечен Zumo de Vidrio 2023-04-02 03:33

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя

Похожие вопросы про тегам:

dynamic-dns
nginx
ports
security
ssh
Вверх