يوجد لدي مشكلة متمثلة في قيام البعض بهجمات brute force موجهة ضد خدمة ssh
الان السرفر المعرض للجهوم يقع خلف راوتر. الراوتر عليه ACL تمنع أي اتصال على أي منفذ من قبل أي IP غير ال IP المصرح فيه. وال IP المصرح له بالاتصال يسمح له بالاتصال على منافذ محدودة.
السرفر نفسه عليه fail2ban يقوم بإنشاء قاعدة iptable لأي IP يفشل في إدخال كلمة المرور الخاصة بالمستخدمة مرتان متتاليتان.
في الفترة الاخيرة بدأت الاحظ هجمات ال brute force على السرفر رغم ACL فحصت ال ACL من خلال محاولة الدخول من IP غير موجود في ACL ولم استطع. أي محاولة لاكتشاف وجود السرفر من خلال عمليات المسح وحتى ping تفشل. ومع ذلك استطاع البعض تجاوز ACL وعمل brute force على ssh.
محاولة عمل spoofing لل IP استبعدها تماماً كون ال ACL يرفض أي اتصال من خلال IP داخلي من خلال منفذ الراوتر الخارجي.
فهل لديكم تفسير لذلك؟
ما الذي يمكن أن يكون السبب في تمكن المهاجمين من عمل هذا الهجوم؟
طبعاً الهجوم فشل في تحقيق أي نجاح ولكن ارغب في معرفة كيف تم الوصول للسرفر من الأساس.
وجزاكم الله خيراً
المفضلات