Aktuelle Seite:

baten.de > bITlog Artikel

bITlog News

Angriff und Support der Amazon EC2 Instanz

10.01.2011 16:38 von Holger Baten

Nachtrag zum Artikel über das Monitoring mit einer Mikro-Instanz

Nach gut 2 Tagen ist die Instanz erstmalig in der Nacht abgestürzt. Da die EBS-Boot-Festplatte persistent ist, konnte ich diese aber leicht in eine andere laufende Instanz einhängen und die Logs prüfen. Die mögliche Ursache für den Absturz könnten zahllose wahllose "brute force" ssh-Angriffe mit unglaublich vielen user/passwort-Kombinationen sein, wie z.B. (Auszug secure Logfile)

 

Jan  7 22:32:00 ip-10-48-209-191 sshd[625]: Invalid user michael from 122.155.16.136
Jan  7 22:32:00 ip-10-48-209-191 sshd[626]: input_userauth_request: invalid user michael
Jan 7 22:32:00 ip-10-48-209-191 sshd[626]: Received disconnect from 122.155.16.136: 11: Bye Bye
Jan 7 22:32:02 ip-10-48-209-191 sshd[627]: Invalid user michael from 122.155.16.136
Jan 7 22:32:02 ip-10-48-209-191 sshd[628]: input_userauth_request: invalid user michael
Jan 7 22:32:02 ip-10-48-209-191 sshd[628]: Received disconnect from 122.155.16.136: 11: Bye Bye
Jan 8 01:40:16 ip-10-48-209-191 sshd[897]: Did not receive identification string from 200.121.244.80

 

Das Positive

1. Die Ersatzinstanz war in Null-Komma-Nix hochgefahren und mit meiner IP verbunden, und dann sofort wieder unter dem gewohnten Hostnamen verfügbar.

2. Da sich die Instanz über die AWS-Konsole gar nicht mehr stoppen lies, habe ich einen AWS-Forumseintrag erstellt. Dieser wurde sehr zeitnah von einem AWS-Administrator beantwortet und das Problem gelöst.

 

Als Gegenmaßnahme gegen die SSH-Angriffe werde ich jetzt in der Firewall den SSH-Port 22 nur noch dann über die Konsole öffnen, wenn ich mich mit der Instanz verbinden möchte.

 

 

Zurück

Einen Kommentar schreiben

Blog Archiv

Stöbern Sie im Blog Archiv nach alten und neuen Einträgen.