Как заблокировать IP атакующего?

Question

[dis4like]

Доброго вечера коллеги!

С недавнего времени появилась проблема с безопасностью сервера.
Админ промахнулся и установил при переносе сайта права 777 на папку, после чего благополучно забыл.
На сервер проникли и внедрили вредоносный код, который я уже удалил.
Права установил на как требуется для движка. Чекнул логи auth.log и error.log (Mysql), а там беда. Кто-то ведет подбор паролей походу. Как заблокировать IP-шки, чтобы кикнуть урода?
Проанализировав логи я нашел три постоянных IP.
Пример auth.log:
Dec 20 13:41:01 market-plast sshd[2604]: Disconnected from 112.85.42.88 port 18891 [preauth]
Dec 20 13:41:01 market-plast sshd[2604]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.88 user=root
Dec 20 13:42:02 market-plast sshd[2608]: Invalid user pvkiiserver from 138.68.57.194
Dec 20 13:42:02 market-plast sshd[2608]: input_userauth_request: invalid user pvkiiserver [preauth]
Dec 20 13:42:02 market-plast sshd[2608]: pam_unix(sshd:auth): check pass; user unknown
Dec 20 13:42:02 market-plast sshd[2608]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=138.68.57.194
Dec 20 13:42:03 market-plast sshd[2608]: Failed password for invalid user pvkiiserver from 138.68.57.194 port 58890 ssh2
Dec 20 13:42:03 market-plast sshd[2608]: Received disconnect from 138.68.57.194 port 58890:11: Normal Shutdown, Thank you for playing [preauth]
Dec 20 13:42:03 market-plast sshd[2608]: Disconnected from 138.68.57.194 port 58890 [preauth]
Dec 20 13:42:24 market-plast sshd[2610]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.88 user=root
Dec 20 13:42:25 market-plast sshd[2610]: Failed password for root from 112.85.42.88 port 41888 ssh2
Dec 20 13:42:29 market-plast sshd[2610]: Received disconnect from 112.85.42.88 port 41888:11: [preauth]
Dec 20 13:42:29 market-plast sshd[2610]: Disconnected from 112.85.42.88 port 41888 [preauth]
Dec 20 13:42:40 market-plast sshd[2612]: Did not receive identification string from 193.112.141.157
Dec 20 13:43:33 market-plast sshd[2617]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.88 user=root
Dec 20 13:43:35 market-plast sshd[2617]: Failed password for root from 112.85.42.88 port 53744 ssh2
Dec 20 13:43:39 market-plast sshd[2617]: Failed password for root from 112.85.42.88 port 53744 ssh2
Dec 20 13:43:42 market-plast sshd[2617]: Failed password for root from 112.85.42.88 port 53744 ssh2
Dec 20 13:43:42 market-plast sshd[2617]: Received disconnect from 112.85.42.88 port 53744:11: [preauth]
Dec 20 13:43:42 market-plast sshd[2617]: Disconnected from 112.85.42.88 port 53744 [preauth]
Dec 20 13:43:42 market-plast sshd[2617]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=112.85.42.88 user=root

Answer 1

[ТыжСисАдмин]

Подбор пасов к серверу SSH это нормальная ситуация.
Избавиться можете или запретом доступа извне к SSH серверу или использованием port knocking.

Заблокировать можете в фаерволе, но лучше отключите парольную аунтентификацию (а рут вообще не должен по ssh ходить) и используйте ключи.

P.S. это всё уже 100500 раз обслюнявленно в статьях, которые легко находяться по запросу "ssh security".
К примеру на хабре их с десяток https://habr.com/post/179219/

Comments

[dis4like]

Спасибо за четкий ответ. Я извиняюсь за повторение, но просто некоторые методы уже морально устарели и хотелось спросить у профессионалов напрямую.

[ТыжСисАдмин]

dis4like, Ниодин из методов не устарел.
Других методов просто нет или есть из разряда "маркетинговой чуши".

1. Отлючить парольную авторизацию и оставить только по ключам.
2. Отключить руту доступ по ssh (в конфиге ssh одна стройка).
3. Если на вашей стороне есть статиеские IP то фаерволом закрываете доступ к ssh всем кроме ваших IP

Делаете два пункта первых и забиваете на остальное, этого более чем достаточно.

Answer 2

[Энди Ларкин]

apt install fail2ban
--
из коробки уже будет сам банить при нескольких попытках входа