Od dłuższego czasu można spotkać się ze zjawiskiem gdzie w logach systemowych jest odnotowanych mnóstwo prób włamań na VPS poprzez SSH.
Są one wykonywane przez boty, najczęściej na zainfekowanych już VPSach/serwerach dedykowanych.
Dlaczego próbują się do mnie włamać boty?
Boty te włamują się by dalej infekować inne serwery oraz aby spełniać role określoną przez twórcę tego złośliwego oprogramowania, zazwyczaj jest to rozsyłanie spamu, wykonywanie ataków typu DoS/DDoS czy kopanie Bitcoin.
Niezależnie od roli tego oprogramowania (malware) działa ono na szkodę właściciela takiego VPSa.
Trochę jak kleszcz czy pijawka. Jeśli zobaczysz coś takiego na swoim ciele to raczej chcesz się szybko tego pozbyć, prawda ? :)
Czym może skutkować takie włamanie?
Często takie skrypty wykorzystują 100% CPU co powoduje niską wydajność np. lagi na serwerach gier czy przerywanie rozmów na serwerach głosowych.
Mogą też spowodować problemy prawne dla ciebie. Przykładowo jeśli taki skrypt włamie się na serwer jakiejś firmy to możesz być pociągnięty do odpowiedzialności jako właściciel VPSa lub VPS zostanie po prostu usunięty przez dostawcę np. lvlup.pro ze względu na naruszenia regulaminu.
Jak tego uniknąć?
Aby uniknąć takich przykrych sytuacji wystarczy zabezpieczyć system swojego VPSa, głównie przez regularną aktualizację systemu co kilka dni
https://lvlup.rok.ovh/t/aktualizacja-systemu-debian-ubuntu/20
używanie dłuższego, trudnego do zgadnięcia hasła SSH, najlepiej losowego https://lvlup.rok.ovh/t/losowe-haslo/619
oraz instalację aplikacji która automatycznie blokuje łączenie się do SSH z danego adresu IP po ustalonej liczbie błędnych logowań
https://lvlup.rok.ovh/t/instalacja-fail2ban/97
Dzięki takiemu prostemu zabiegowi zawsze mamy najnowsze paczki systemowe w których załatane są ewentualne luki a boty nie będą w stanie zgadnąć hasła metodą bruteforce.
W skrócie wystarczy poświęcić kilka minut w tygodniu aby uniknąć dużych nieprzyjemnosci :slight_smile:
Co jeszcze warto zrobić?
Warto jeszcze usunąć domyślnie zainstalowane usługi z których nie korzystamy. Dzięki temu zmniejsza się powierzchnia ataku czyli jest mniej możliwych furtek przez które mogą przejść włamywacze.
https://lvlup.rok.ovh/t/usuwanie-smbd/98
https://lvlup.rok.ovh/t/usuwanie-apache2/117
https://lvlup.rok.ovh/t/zmiana-portu-ssh/197
https://lvlup.rok.ovh/t/automatyczne-aktualizacje-bezpieczenstwa-w-ubuntu/208