ssh и боты

[lookout]

Встала такая задачка.
Есть сервер на который разрешено соединятсья по ssh всем ip но только перечисленному списку пользователей, запрещен прямой вход root и другие хорошие правила...но просматривая логи ssh увидел что ко мне повадился заходить один пользователь с определенного ip (скорей всего через прокси) и давай перебирать логины и пароли (у него конечно ничего не вышло). Посмотрев я на это на firewall закрыл его..на следующее утро он поменял видно прокси и снова за свое, с неудачными попытками. Нашел в инете правила firewall которые закрывают соединение если логиньтсья быстрей чем за 20 сек, тоесть если ты бот то набираешь все быстро и тебя отбрасывают... все хорошо ..но можно ли сделать что бы такие же самые правила можно было прописать в sshd.conf (слышал такое возможно)? да и вообще как еще можно бороться с такими вот кул-хацкерами что бы они не засоряли логи своими попытками ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

я к примеру перевесил ссх на другой порт, по крайней мере тупые боты не долбятся

[lookout]

я к примеру перевесил ссх на другой порт, по крайней мере тупые боты не долбятся

хм..как вариант, но не то

[Morty]

у меня так же решилось - просто перекинул ссш порт на др
...
помоему на сайте где то есть статья по настройке демона
который лопатит логи и блочит адреса файерволом
я пробовал из портов bruteblock, там вроде как все просто в настройке но -))))
вопшем он у меня в холостую работал, нечего в таблицу ipfw не добавлял и я его снёс

[demondem10]

Не пробывал но видел такую штуку!!!
ssh открывает 22 порт только когда клиент по заранее установленному порядку стучится на указанные порты
тогда ipfw открывает 22 и форвардит юзера туды! Это должно решить твои проблемы!
Вот почитай http://www.lissyara.su/?id=1283

[Alex Keda]

есть такой в портах - pam_abl - у меня правда влёт не завёлся, но днях по наличию времени доковыряю, ибо автор грит у него таких проблем нет...
тем боле надо - у нас одна машинка ssh наружу смотрит

[lookout]

а нет ничего более проще ...а то все как то уж слишком запутанно

[demondem10]

Закрой 22 !!! проше некуда!

[lookout]

Закрой 22 !!! проше некуда!

это уже слишком просто будем искать как сделать закрытей систему без прикручивания дополнительных прог

[reLax]

Код: Выделить всё

Oct  3 16:05:44 blackice sshd[29398]: Did not receive identification string from 66.8.94.86
Oct  3 16:12:11 blackice sshd[34363]: Invalid user webmaster from 66.8.94.86
Oct  3 16:12:17 blackice sshd[34366]: User root from scannergp.bit.co.za not allowed because not listed in AllowUsers
Oct  3 16:12:20 blackice sshd[34368]: Invalid user ftp from 66.8.94.86
Oct  3 16:12:20 blackice sshguard[69575]: Blocking 66.8.94.86: 3 failures over 9 seconds.
Oct  3 16:13:17 blackice sshd[34368]: fatal: Timeout before authentication for 66.8.94.86
Oct  3 16:23:56 blackice sshguard[69575]: Releasing 66.8.94.86 after 696 seconds.

Ну и пусть стучатся, что тебе, жалко чтоли. В sshguard пришлось немного подправить исходник правда, чтобы в таблицу ipfw добавлял за шлюзом Cisco стоит, сначало тоже порт на ней поменял, потом просто интересно стало, сколько му-ов стучится в ssh, в итоге на 22 так и оставил. Уже как год почти

[lookout]

наконфигал свой ssh так что теперь даже боты не стучаться, у человека есть 10 секунд что бы залогиниться потом отрубаеться, есть 3 попытки на введение правильного пароля, есть проверка ip адреса, есть правило в firewall на блокировку ботов..если что то случаетсья из списка то sshd блокируеться и закрывает ip желающего приконектиться.. Результат: если раньше ломились боты как сумашедчие ..то сейчай две попытки за сутки ..думаю хороший результат... возможно напишу статью по конфигуривании sshd

[schizoid]

вот тока ламают не тока по ссх

[lookout]

вот тока ламают не тока по ссх

но я же не говорю что ssh это самое главное и самое крутое ...есть еще много чего вкусного и приятного

[kmb]

вот на сайте: sshit - защита от подбора паролей ssh/ftp
правда у меня нормально не работает) меня или кого-то кто проверяет блочит, а подлых ботов нет) странно)

[lookout]

вот на сайте: sshit - защита от подбора паролей ssh/ftp
правда у меня нормально не работает) меня или кого-то кто проверяет блочит, а подлых ботов нет) странно)

хорошенькая статья..вот только под linux я такого не знаю... хотя подчерпнул для себя правило для iptables (да из них уже у меня были)

[vygov]

Гы, прикол. Примерно с двух часов ночи каждые две минуты в auth.log валится такое ссобщение:
sshd[....] error: PAM: authentication failure
Ни ай-пи, ничего больше нет. Это бот ломится или какая-то системная ошибка?

[vygov]

Лавина из дерьма! :-) Теперь уже внаглую ломятся, даже ай-пи не скрывают. Кстати, айпишник похож на реальный, пробил по whois - белорусская контора.

P.S.Порт что-ли сменить, логи только мусорят.

[dikens3]

Лавина из дерьма! :-) Теперь уже внаглую ломятся, даже ай-пи не скрывают. Кстати, айпишник похож на реальный, пробил по whois - белорусская контора.

P.S.Порт что-ли сменить, логи только мусорят.

Ботов/вирусов полно. Не обязательно хакеры. Разве что косвенно.

[Alex Keda]

Код: Выделить всё

/usr/ports/security/pam_abl/

никто не юзал?
у меня не работает, а по самой идее - самое лучшее из того что встречал...

[vygov]

По ходу вопрос по ssh. Сменил порт в sshd.conf, перегрузил(sshd restart не сработало, хотя писало, что аргументы перегружены), 22-й залочился, нужный открылся. А вот откуда система берет по умолчанию параметры для ssh-порта? Глянул в sshd, все строки были закомментированы. Откуда и с какими параметрами работает ssh по умолчанию?

[Alex Keda]

вкомпилены, думаю.

[dikens3]

По ходу вопрос по ssh. Сменил порт в sshd.conf, перегрузил(sshd restart не сработало, хотя писало, что аргументы перегружены), 22-й залочился, нужный открылся. А вот откуда система берет по умолчанию параметры для ssh-порта? Глянул в sshd, все строки были закомментированы. Откуда и с какими параметрами работает ssh по умолчанию?

А я думаю, что всё что закомментировано в конфиге, и есть настройки по умолчанию.

[vygov]

Не думаю. Добавляю туда под комментом любые настройки - не включаются.

[Alex Keda]

Не думаю. Добавляю туда под комментом любые настройки - не включаются.

имеется ввиду - они как пример перечислены.
сами же дефолтовые настройки - вкомпилены в бинарник, на то они и дефолтовые

[vygov]

Заметил за демоном sshd одну неприятную особенность. При смене порта в sshd.config и перегрузке демона, новый порт подключается, но и старый остается работать. Отключается он только при перезагрузке системы. Так и должно работать или это я что-то неправильно делаю?