[ SSH ] Dúvidas sobre o Log e possíveis invasões

Boa noite, hoje eu comprei uma vps para fins de estudo, então desculpe-me pela leiguice aushdfa. Eu estava dando uma olhada nos logs do ssh e vi que tem alguns Ips da Rússia, China e California, a maioria são de lugares aleatórios, tinha um da Rússia que dava em um cemitério, nem morto os bixo deixa a gente em paz, brincadeiras a parte :D. Queria saber se esses logs indicam alguma coisa, qual o significado e etc, acho que qualquer leigo como eu olharia esses logs e ficaria com medo ou algo do tipo kkkk.

Obs.: Alguns logs eu tive que cortar, pois tinha o meu IP Público.

Sep  6 18:10:50 srv417565 sshd[614]: error: kex_exchange_identification: banner line contains invalid characters
Sep  6 18:10:50 srv417565 sshd[614]: banner exchange: Connection from 59.120.224.187 port 16085: invalid format
Sep  6 18:10:58 srv417565 sshd[615]: Received disconnect from 59.120.224.187 port 59247:11: Bye Bye [preauth]
Sep  6 18:10:58 srv417565 sshd[615]: Disconnected from 59.120.224.187 port 59247 [preauth]
Sep  6 18:17:01 srv417565 CRON[621]: pam_unix(cron:session): session opened for user root(uid=0) by (uid=0)
Sep  6 18:17:01 srv417565 CRON[621]: pam_unix(cron:session): session closed for user root
Sep  6 18:20:54 srv417565 sshd[626]: error: kex_exchange_identification: banner line contains invalid characters
Sep  6 18:20:54 srv417565 sshd[626]: banner exchange: Connection from 177.201.193.33 port 47408: invalid format
Sep  6 18:21:05 srv417565 sshd[627]: Invalid user NL5xUDpV2xRa from 177.201.193.33 port 36124
Sep  6 18:21:05 srv417565 sshd[627]: fatal: userauth_pubkey: parse request failed: incomplete message [preauth]
Sep  6 19:22:56 srv417565 sshd[14583]: Connection closed by 195.112.113.205 port 42220
Sep  6 20:17:01 srv417565 CRON[14992]: pam_unix(cron:session): session opened for user root(uid=0) by (uid=0)
Sep  6 20:17:01 srv417565 CRON[14992]: pam_unix(cron:session): session closed for user root
Sep  6 20:23:03 srv417565 su: pam_unix(su:session): session closed for user root
Sep  6 21:42:51 srv417565 sshd[15027]: Connection closed by authenticating user root 157.230.143.105 port 48726 [preauth]
Sep  6 21:42:53 srv417565 sshd[15029]: Connection closed by authenticating user root 157.230.143.105 port 48732 [preauth]
Sep  6 21:42:54 srv417565 sshd[15031]: Connection closed by authenticating user root 157.230.143.105 port 39768 [preauth]
Sep  6 21:42:56 srv417565 sshd[15033]: Connection closed by authenticating user root 157.230.143.105 port 39774 [preauth]
Sep  6 21:42:57 srv417565 sshd[15035]: Connection closed by authenticating user root 157.230.143.105 port 39788 [preauth]
Sep  6 21:42:58 srv417565 sshd[15037]: Connection closed by authenticating user root 157.230.143.105 port 39796 [preauth]
Sep  6 21:43:00 srv417565 sshd[15039]: Connection closed by authenticating user root 157.230.143.105 port 39812 [preauth]
Sep  6 21:43:01 srv417565 sshd[15041]: Connection closed by authenticating user root 157.230.143.105 port 39824 [preauth]
Sep  6 21:43:03 srv417565 sshd[15043]: Connection closed by authenticating user root 157.230.143.105 port 39838 [preauth]
Sep  6 21:43:04 srv417565 sshd[15045]: Connection closed by authenticating user root 157.230.143.105 port 37630 [preauth]

É comum observar tentativas de acesso não autorizado em servidores SSH, especialmente em servidores públicos ou expostos à internet. Os logs que você compartilhou mostram tentativas de conexão de endereços IP de várias partes do mundo, incluindo Rússia, China e Califórnia. Essas tentativas de conexão são conhecidas como “ataques de força bruta” ou “varreduras” e são realizadas por bots automatizados em busca de sistemas vulneráveis.

Aqui estão algumas considerações sobre esses logs:

1. kex_exchange_identification: banner line contains invalid characters: Este é um erro que ocorre quando o servidor SSH recebe um banner inválido durante a negociação inicial. Isso pode ser um sinal de um cliente malicioso tentando se conectar.
2. Invalid user NL5xUDpV2xRa: Esta linha indica que alguém tentou se autenticar com um nome de usuário inválido. Muitos bots de ataque tentam nomes de usuário comuns (como “root”, “admin”, etc.) em uma tentativa de adivinhar as credenciais.
3. Connection closed by authenticating user root: Essa mensagem indica que alguém tentou autenticar como usuário “root”, o que é uma prática arriscada em termos de segurança. É altamente recomendável que você desabilite a autenticação direta do usuário “root” via SSH e use um usuário normal com privilégios de sudo para administrar seu servidor.

É importante observar que essas tentativas de acesso não autorizado são muito comuns na internet, e é por isso que é essencial tomar medidas de segurança para proteger seu servidor. Aqui estão algumas ações que você pode tomar:

1. Desativar autenticação de root: Como mencionado acima, desabilite a autenticação direta do usuário “root” via SSH e use um usuário comum para acessar o servidor. Você pode usar o comando sudo para executar tarefas administrativas.
2. Use chaves SSH: Em vez de depender apenas de senhas, configure a autenticação baseada em chave SSH, o que torna muito mais difícil para invasores adivinharem ou quebrarem senhas.
3. Use uma lista de bloqueio de IP: Considere usar uma lista de bloqueio de IP, como o Fail2ban, para bloquear automaticamente endereços IP que fazem muitas tentativas de login inválidas.
4. Mantenha seu sistema atualizado: Certifique-se de que seu sistema operacional e seu software estejam sempre atualizados com as últimas correções de segurança.
5. Use uma porta SSH não padrão: Mudar a porta SSH padrão de 22 para outra porta não padrão pode ajudar a reduzir o número de tentativas de acesso, embora isso não seja uma solução completa.

Lembre-se de que a segurança é um processo contínuo, e é importante estar vigilante e tomar medidas proativas para proteger seu servidor contra tentativas de acesso não autorizado.

's leoberbert

Este tópico foi fechado automaticamente. Novas respostas não são mais permitidas.