Da diverso tempo, ho acquistato ed uso un'istanza cloud di una macchina virtuale linux. ad intervalli regolari, controllo il log ed estraggo le letture di tutti i tentativi di accesso alla mia macchina. Sto monitorando questi tentativi di accesso, registrati sul log e mi è capitato che durante l'ultima lettura dei log ho trovato un tentativo di accesso proveniente da uno specifico IP, in particolare: 138.2.78.104 che appare essere piu sospetto degli altri.
Da questo specifico IP, ho ricevuto 266 hit nel giro di pochissime ore. Ora, io so benissimo che le istanze virtuali sono spesso contattate da spider e servizi online, anche legittimi che hanno il compito di assicurarsi che quella specifica istanza sia regolare e raggiungibile, ma da questo specifico ip i tentativi vengono da queste utenze: ftp, debian, user, admin, pi.
Inoltre sembra che i tentativi di infiltrazione provino ad entrare, con un attacco in forza bruta sistematicamente su tutte le porte.
L'aspetto che mi fa un po sospettare è che se fosse un servizio legittimo, mi aspetterei che l'utenza che mi lascia il log sia un qualche tipo di utenza di servizio, o che sia quanto meno identificabile, invece le utenze usate sono chiaramente delle utenze tipiche di username che vengono lasciate immutate da molti utenti, e quindi tutto mi lascia sospettare di un possibile attacco malevolo.
Ho provato a fare un lookup di questo IP. Sembra che sia dalle parti di SIngapore, ma non capisco se sia parte ufficiale di qualche blacklist o meno.
Al momento ho creato una regola firewall specifica sul mio cloud per tenere fuori questo IP ma, come sappiamo tutti, una regola per droppare un unico IP si aggira facilmente.
Oltre a questo, ho una lista di altri IP che ho ordinato in funzione del numero di hit tentati per entrarmi nella macchina. Alcuni di questo sono, per esempio:
- 39.37.216.155, 82.76.145.127, 75.183.59.92
La domanda è: voi come vi regolate? Con quale criterio decidete se un tentativo di accesso ad una vostra istanza è sospetto o meno?
Grazie
