Logo mark Archiwum

Jak zabezpieczyć VPSa przed włamaniami botów na SSH

Poradniki
SystemZ
SystemZ Admin lvlup.pro

Od dłuższego czasu można spotkać się ze zjawiskiem gdzie w logach systemowych jest odnotowanych mnóstwo prób włamań na VPS poprzez SSH.

Są one wykonywane przez boty, najczęściej na zainfekowanych już VPSach/serwerach dedykowanych.

Dlaczego próbują się do mnie włamać boty?

Boty te włamują się by dalej infekować inne serwery oraz aby spełniać role określoną przez twórcę tego złośliwego oprogramowania, zazwyczaj jest to rozsyłanie spamu, wykonywanie ataków typu DoS/DDoS czy kopanie Bitcoin.

Niezależnie od roli tego oprogramowania (malware) działa ono na szkodę właściciela takiego VPSa.

Trochę jak kleszcz czy pijawka. Jeśli zobaczysz coś takiego na swoim ciele to raczej chcesz się szybko tego pozbyć, prawda ? :)

Czym może skutkować takie włamanie?

Często takie skrypty wykorzystują 100% CPU co powoduje niską wydajność np. lagi na serwerach gier czy przerywanie rozmów na serwerach głosowych.

Mogą też spowodować problemy prawne dla ciebie. Przykładowo jeśli taki skrypt włamie się na serwer jakiejś firmy to możesz być pociągnięty do odpowiedzialności jako właściciel VPSa lub VPS zostanie po prostu usunięty przez dostawcę np. lvlup.pro ze względu na naruszenia regulaminu.

Jak tego uniknąć?

Aby uniknąć takich przykrych sytuacji wystarczy zabezpieczyć system swojego VPSa, głównie przez regularną aktualizację systemu co kilka dni

https://lvlup.rok.ovh/t/aktualizacja-systemu-debian-ubuntu/20

używanie dłuższego, trudnego do zgadnięcia hasła SSH, najlepiej losowego https://lvlup.rok.ovh/t/losowe-haslo/619

oraz instalację aplikacji która automatycznie blokuje łączenie się do SSH z danego adresu IP po ustalonej liczbie błędnych logowań

https://lvlup.rok.ovh/t/instalacja-fail2ban/97

Dzięki takiemu prostemu zabiegowi zawsze mamy najnowsze paczki systemowe w których załatane są ewentualne luki a boty nie będą w stanie zgadnąć hasła metodą bruteforce.

W skrócie wystarczy poświęcić kilka minut w tygodniu aby uniknąć dużych nieprzyjemnosci :slight_smile:

Co jeszcze warto zrobić?

Warto jeszcze usunąć domyślnie zainstalowane usługi z których nie korzystamy. Dzięki temu zmniejsza się powierzchnia ataku czyli jest mniej możliwych furtek przez które mogą przejść włamywacze.

https://lvlup.rok.ovh/t/usuwanie-smbd/98

https://lvlup.rok.ovh/t/usuwanie-apache2/117

https://lvlup.rok.ovh/t/zmiana-portu-ssh/197

https://lvlup.rok.ovh/t/automatyczne-aktualizacje-bezpieczenstwa-w-ubuntu/208

https://lvlup.rok.ovh/t/klucze-ssh-podstawowy-poradnik/6745

LinGruby
LinGruby Pionier

Osobiście poleciłbym jeszcze zmienić port SSH na niestandardowy ale to opcja dla bardziej zaawansowanych

SystemZ
SystemZ Admin lvlup.pro

Tak, to zdecydowanie najprostsze rozwiązanie bo boty o ile wiem nie szukają SSH poza portem 22 ale potem ludzie się gubią że trzeba dodatkowo wpisywać port w aplikacjach :slight_smile:

SystemZ
SystemZ Admin lvlup.pro

7 postów zostało przeniesionych do nowego tematu: O forum.lvlup.pro na innych forach

Seba983
Seba983

SystemZ:

boty o ile wiem nie szukają SSH poza portem 22 Wykonałem większość z podanych tutaj zabezpieczeń i VPS został znowu zablokowany po 1 dniu. Port SSH ze standardowego 22 też został zmieniony został zmieniony także boty chyba jednak szukają poza nim 😕

Damian28w
Damian28w

Napisz co masz na nim zainstalowane, bo nie wydaje mi sie by boty były az tak cwane, a zabezpieczyłeś sobie VPS'a kluczem ? wylaczyles mozliwosc logowania po hasle na root'a ? i dodatkowo sam klucz zabezpieczyles hasłem ?

Aylin
Aylin ex-admin forum.lvlup.pro

Damian28w:

Napisz co masz na nim zainstalowane, bo nie wydaje mi sie by boty były az tak cwane This.

Nieważne jak dobrze się zabezpieczy VPS to wystarczy zainstalować jedną aplikację z niepewnego źródła lub dać za dużo uprawnień dla jakiegoś "lewego" skryptu i problem gotowy.

SystemZ
SystemZ Admin lvlup.pro

Tak, bezpieczeństwo zależy od najsłabszego ogniwa. Możesz mieć mnóstwo warstw zabezpieczających ale raz jedyny odpalisz jakiś dziwny skrypt z prawami roota i bye bye, tylko reinstalacja może ostatecznie wykluczyć dalszą infekcję w rozsądnym czasie.