1

Тема: Допоможіть розібратися в логах auth.log

З програмістом працювали над сайтом пів року, 2 дня назад його запустили, вчора ввечері почалась дивна нагрузка на CPU, допоможіть зрозуміти це DDos атака чи просто google боти?

фото файла auth.log https://imgur.com/a/U7FdxeE

2 Востаннє редагувалося frz (21.06.2024 12:21:41)

Re: Допоможіть розібратися в логах auth.log

Перший скріншот якоюсь незрозумілою мовою, схоже на болгарську - саме на цьому форумі вам з таким точно не допоможуть.

Другий і третій скріншот цікавіші, показує що були неодноразові успішні (!) конекшни ssh з-під root (!), а потім завершення з'єднання - ну це вам видніше, чи то ви конектилися, чи хтось інший, бо там вказано IP адресу звідки конектилися і коли саме.

Також багато спроб під'єднання і з-під root, і з-під іншого юзера (huawei), котрі не були успішними.

Що цікаво, що всюди фігурує слово "password". Ну це дуже примітивне налаштування, точніше його відсутність. Грамотно було б заборонити конектитися через ssh за допомогою паролю, натомість використовувати ssh public key. Увага, перед тим як заборонити використання паролів для ssh, необхідно додати декілька ssh public key, з різних комп'ютерів (ноутбуків), котрі до того ж рознесені географічно - інакше заблокуєте самі себе і в деяких випадках навіть провайдер / хостер вам тут не допоможе.

Ну й додати також fail2ban - однак дивлячись на вашу конфігурацію що дозволяє використання ssh паролю, це може бути для вас на даному етапі занадто складно.

Це не DDOS, інакше ви б не могли навіть подивитися логи. Це майже звичайна подія, котра відбувається з кожним сервером де відкрито порт ssh для цілого світу. Однак успішні спроби залогінитися з-під root, якщо це були не ви - це епік фейл. А от неуспішні, поки дозволено пароль, призведуть до того що рано чи пізно ці спроби стануть успішними завдяки перебору паролю (для цього і є fail2ban). Там ці спроби з-під різних IP адрес, що може означати що дійові особи різні.

Після успішної авторизації з-під рут чи іншого користувача з достатніми правами зловмисник може зробити від "все що завгодно" до "дуже багато": видалити дані, змінити конфігурацію, встановити майнери та програми-шпигуни, ботнет...

3

Re: Допоможіть розібратися в логах auth.log

Підскажіть, встановлення cloudflare виправить мою проблему?

4

Re: Допоможіть розібратися в логах auth.log

Ні, по-перше cloudflare не встановлюється, а налаштовується.
По-друге, cloudflare не дає тим хто знає ваш домен дізнатися справжню IP адресу, і тим самим здійснювати DDOS безпосередньо на ваш хост. Тобто якщо на вашому сайті є контент, котрий комусь не подобається, то саме проти домену буде здійснюватися DDOS, котрий до певної міри cloudflare візьме на себе (в залежності від тарифного плану). Це само по собі корисно в будь-якому випадку.

Однак вашу IP адресу знайшли простим перебором айпі, nmap і т.д. Від перебору паролів ssh це не допоможе.

Прихований текст

Ви взагалі читали моє попереднє повідомлення по-діагоналі, чи як?... Ви свого спеціаліста шукали десь на olx подешевше?... А хостера питали через службу підтримки?...

5

Re: Допоможіть розібратися в логах auth.log

Дякую за пояснення, не одразу зрозумів що пароль підбирають не на сайті, а на сервері. Будемо щось міркувати, ще раз дякую за детальне пояснення проблеми.