Connessione SSH non richiesta

Ho avuto un server Ubuntu 8.04 in esecuzione e su Internet per alcuni giorni …. Ho porte 21 e 22 aperte per FTP e SSH … Tutte le altre porte sono chiuse.

ho corso

netstat 

E ho trovato questo

 Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp6 0 68 10.7.1.71%134645824:ssh 125.211.221.145%8:47777 ESTABLISHED 

Sembra che 125.211.221.145 ha stabilito una connessione SSH al server … e sta inviando pacchetti … È ansible che qualcuno stabilisca una connessione SSH senza authentication?

Ho fatto Reverse lookup DNS nell'indirizzo … e sembra oringnare dalla Cina secondo questa risorsa …

 http://www.ipaddresser.com/ 

Presumo che la maggior parte dei server stia fingendo cose come questo tutto il tempo, ma è inusuale avere qualcuno seduto su un porto come questo? E c'è un modo per bloccare determinati IP a livello di server?

Il server è seduto dietro un sostanziale firewall di Cisco.

  • partendo da oracle 10g su ubuntu, l'ascoltatore non è riuscito a iniziare
  • Internet cafe software per linux
  • Ubuntu / Debian / OpenSSH: Esegui lo script di sistema su login e / o logout di SSH
  • Automatizzare l'impostazione intertriggers della configuration LXD?
  • Come faccio ad installare 'repeat' su Ubuntu?
  • Si consiglia di utilizzare Ubuntu 14.04 LTS oltre 12.04 LTS?
  • Dove Ubuntu memorizza le partizioni UUID sul disco?
  • Imansible installare jdk 1.5 su Ubuntu 12.04
  • 5 Solutions collect form web for “Connessione SSH non richiesta”

    Tutti i "ESTABLISHED" significa che la session di tcp è aperta. Non significa che siano stati autenticati con successo. Nmap, ad esempio, creerà una session TCP completa e legale quando si esegue la scansione della port 22. (Sta verificando che il demone è sshd , controlla stringhe di versione, ecc.) Questa persona potrebbe essere in esecuzione di uno scanner portuale semplice o persino tentando di bruciare le tue password.

    Per capire cosa sta succedendo, devi trascorrere qualche tempo di qualità con i tuoi registri. Spendi la maggior parte del tuo tempo alla ricerca di login di successo e falliti. Anche solo eseguire " who " ti farà sapere se qualcuno è effettivamente connesso tramite tale connessione.

    L'output last può anche essere utile.

    Insyte mi ha picchiato.

    Per eliminare tutte le connessioni da quel IP:

    iptables -A INPUT -s 125.211.221.145 -j DROP

    • Non eseguire ssh sulla port 22.
    • Non consentire le connessioni a qualsiasi port eseguita da ssh da Internet integer. ** Se wherete colbind da località casuali installare knockd.
    • Non eseguire ftp.

    È ansible utilizzare un pacchetto come BlockHosts per arrestare tutte le connessioni non richieste di questo tipo. Ecco un bel tutorial – è per Debian Etch ma quasi tutto si applica anche a Ubuntu.

    Ho eseguito un programma chiamato fail2ban che legge i log di comuni demoni come ssh e ftp. Utilizza espressioni regolari per monitorare i tentativi di accesso non riusciti in tali registri e aggiorna le regole del firewall per bloccare i protocolli di ipotesi di intrusi. Puoi personalizzare il comportmento di fail2ban in modi come quanti tentativi falliti prima che un ip sia bloccato e per quanto tempo rimanga bloccato. Funziona molto bene e sono molto contento di questo. Check it out qui .

    Anche se non conosco i blackHosts di gareth_bowles, sospetto che sia simile a fail2ban.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.