เมื่อถูก Brute-Force Attack ที่ sshd

Unix server ส่วนมาก เปิด secure shell daemon (sshd) ไว้เพื่อให้ admin สามารถ access เข้ามาจัดการ server และส่วนมากก็ไม่ได้ตั้ง ACL ใดๆไว้ เพราะต้องการที่จะ remote จากที่ไหนๆก็ได้ แต่ผลที่ตามมาคือ มักจะมีผู้ไม่ประสงค์ดีลักลอบมาเดา username และ password ของ account ในเครื่องเรา วันดีคืนดีเกิดมันเดาถูกขึ้นมา อาจจะซวยได้ ถ้าจะให้ดีก็ควรเปลี่ยน password บ่อยๆ

ถ้าเราดูจาก /var/log/message หรือ /var/log/auth.log เราจะพบ message ประมาณนี้แสดงว่ามีคนตั้งในล้วงคอห่านแล้วล่ะครับ😛

Nov 21 21:46:49 mail sshd[1917]: Invalid user lead from 209.219.17.122
Nov 21 21:46:51 mail sshd[1922]: Invalid user romeo from 209.219.17.122
Nov 21 21:46:53 mail sshd[1927]: Invalid user julieta from 209.219.17.122
Nov 21 21:46:55 mail sshd[1932]: Invalid user sarolta from 209.219.17.122
Nov 21 21:46:58 mail sshd[1937]: Invalid user zemba from 209.219.17.122
Nov 21 21:47:00 mail sshd[1953]: Invalid user amar from 209.219.17.122
Nov 21 21:47:02 mail sshd[1958]: Invalid user jubar from 209.219.17.122
Nov 21 21:47:04 mail sshd[1963]: Invalid user mckey from 209.219.17.122
Nov 21 21:47:06 mail sshd[1968]: Invalid user notorius from 209.219.17.122

แต่ก็มีวิธีป้องกันอย่างง่ายๆ โดยใช้โปรแกรมชื่อ denyhosts เนื่องจากผมใช้ Gentoo ซึ่งมี denyhosts อยู่ใน portage อยู่แล้ว

ซึ่งก็ติดตั้งโดย

#emerge denyhosts

ถ้าหากยังไม่ได้ config ระบบ log ให้แยกแยะ log message โดยเฉพาะการ authentication ให้เก็บใน /var/log/auth.log ก็สามารถ config ตาม Syslog-ng (ผมใช้ syslog-ng)

วิธีการ config denyhosts สามารถอ่านได้จาก HOWTO Protect SSHD with DenyHosts

เครื่องที่พยายามเจาะเข้ามาจะถูกใส่ IP ไว้ในไฟล์ /etc/hosts.deny เช่นในเครื่องผมมีอยู่เยอะเลย

tail -f /etc/hosts.deny
sshd: 82.110.225.132
sshd: 202.167.234.97
sshd: 66.63.172.178
sshd: 61.30.187.58
sshd: 218.38.14.121
sshd: 210.66.37.245
sshd: 60.209.128.199
sshd: 61.57.4.200
sshd: 211.253.228.88
sshd: 209.219.17.122

กลับไปดูใน auth.log อีกทีพบว่ามันอดเข้ามาแล้ว…สม..

Nov 21 21:47:16 mail sshd[2029]: refused connect from 122.17.219.209.transedge.com (209.219.17.122)

1 คิดบน “เมื่อถูก Brute-Force Attack ที่ sshd

  1. Pingback: SuperToy’s Blog » Blog Archive » Auto-Block SSH Intruder on Fedora - บล็อกการโจมตี SSH โดยอัตโนมัติ

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s