追踪黑客:找出谁在攻击您的服务器刀片服务器

2013-10-24    来源:机房360    编辑:litao984lt
如果您的企业运行着一台公共的开放SSH访问的服务器,并且您曾经看过认证记录,您会注意到有很多看似随机的登录尝试。除非您将允许访问的SSHIP地址源严格限制在特定的列表范围内,
  如果您的企业运行着一台公共的开放SSH访问的服务器,并且您曾经看过认证记录,您会注意到有很多看似随机的登录尝试。除非您将允许访问的SSHIP地址源严格限制在特定的列表范围内,要不然,互联网上的任何人都可以尝试登录您的服务器,大量的个人运行脚本都会这样做。最重要的是,智能的安全将尽量减少这种威胁的存在,但让我们来看看这些所谓的“随机的登录尝试”仍然是相当有趣的。
  
  几周前,我开始分析denyhosts创建的日志,这是一款*nix工具,可以查看无效的登录尝试,并在超过事前设置的失败登录次数后切断相关IP地址源的访问。这是一款很好的工具,将帮助您大大降低您的服务器上现有的随机登录。如果您尚未在您的服务器上安装denyhosts,那么,您现在应该安装了,然后再回来看本文余下的部分。
  
  我开始以一种半科学的方式收集和分析denyhosts的数据。我所查看的是托管着美国和欧洲的6家不同的网络提供商,并对每一个试图访问的IP进行分类的主机。当同一IP地址或多个IP地址10次登录尝试失败后,Denyhosts将切断这些IP地址的访问。从而也就限制了我所能够收集到的IP地址的数量。这一结果可能并不符合我所考虑的一个详尽的研究项目所需的数据量,但对我而言,研究这些IP地址来源也是非常有趣的。
  
  两台被监控的主机在同一公共IP子网。其中一台主机托管着数量可观的域名和网站、一个较小数域的电子邮件、以及用于注册的DNS服务器。另一台主机几乎没有托管什么,但安装着防火墙并运行着一些小的服务。您可能认为较为繁忙的第一台服务器会比另一台遭遇更多的随机登录尝试,毕竟,其承载了更多的服务。我的意思是,对于Web服务器的攻击其实与Web服务器本身一样古老。
  
  结果正好相反。在为期一周的时间内,第一台较为繁忙的服务器封锁了47个IP地址,而第二台服务器封锁的IT数量是第一台的近两倍,86个IP地址。我只能猜测,因为第二台服务器安装了防火墙和网关,所以其IP地址能够被互联网上大量的网站和服务器看到,这导致了其被添加到pingback的名单,以作进一步审阅。而不像Web服务器,重点关注的是边缘网关。我想这是有一定的道理的:如果您能进入网关,那么有可能获得比一台Web服务器更多的东西。
  
  但也许不是。所以尝试在托管服务提供商的服务器进行注册的IP中,针对每一个独立的注册尝试,系统均会呈现出一种奇怪的类似号码(介于115~121之间)。这些都是运行在世界各地的服务器托管设施,利用不同的虚拟主机服务提供商,属于完全不同的子网,彼此之间没有关系。那些网段被广泛分配到托管服务提供商,所以这些注册尝试显然是针对服务器的,而不是网关。
  
  正如您可能想象的,这些请求来自世界各地,从安卡拉到墨尔本,从乌克兰到萨拉索塔,然后再将其请求返回。这些试图访问服务器的系统涉及了相当多的用户名。有服务器显示有超过600个独特的用户名企图登录该服务器的系统。一些被拒绝的登录的用户使用的是看似随机的用户名,甚至字符的字符串,而其他的知识简单的按照字母顺序来尝试,从字母“a”开始,有的IP在被封锁之前已经试到“aaad”了。
  
  这种随意性质的实验在于,我所用的生产服务器是被保护免受这些类型的攻击的服务器。如果我有相当的时间和意愿,在全世界范围内采用几十个VPS,那么,肯定会带来更好更完整的数据。
  
  事实是,不断的有脚本从全球各地的SSH端口流入,试图克服重重困难,以便登录到服务器。许多脚本是基于Linux的应用程序,被默认设置为缺省值,因此使用已知的登录。一些人正在寻找因安装软件所造成的安全漏洞,提供有效的shell命令行界面和默认密码创建用户。
  
  但是,这肯定不是他们正在寻找的全部。在过去一周,我仔细分析了一整套显示一个疯狂尝试登录IP的威胁,该计算过程就相当于试图用满满一箱子的钥匙来开一扇门。但偶尔,其中的脚本也会工作,这种突如其来的威胁是非常真实的。
1
3