ssh и боты

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
lookout
рядовой
Сообщения: 35
Зарегистрирован: 2006-09-18 16:18:39
Контактная информация:

ssh и боты

Непрочитанное сообщение lookout » 2007-10-03 12:20:57

Встала такая задачка.
Есть сервер на который разрешено соединятсья по ssh всем ip но только перечисленному списку пользователей, запрещен прямой вход root и другие хорошие правила...но просматривая логи ssh увидел что ко мне повадился заходить один пользователь с определенного ip (скорей всего через прокси) и давай перебирать логины и пароли (у него конечно ничего не вышло). Посмотрев я на это на firewall закрыл его..на следующее утро он поменял видно прокси и снова за свое, с неудачными попытками. Нашел в инете правила firewall которые закрывают соединение если логиньтсья быстрей чем за 20 сек, тоесть если ты бот то набираешь все быстро и тебя отбрасывают... все хорошо ..но можно ли сделать что бы такие же самые правила можно было прописать в sshd.conf (слышал такое возможно)? да и вообще как еще можно бороться с такими вот кул-хацкерами что бы они не засоряли логи своими попытками :D ?
познаю истину, хочу быть свободным

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение schizoid » 2007-10-03 12:30:31

я к примеру перевесил ссх на другой порт, по крайней мере тупые боты не долбятся
ядерный взрыв...смертельно красиво...жаль, что не вечно...

lookout
рядовой
Сообщения: 35
Зарегистрирован: 2006-09-18 16:18:39
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение lookout » 2007-10-03 12:36:39

schizoid писал(а):я к примеру перевесил ссх на другой порт, по крайней мере тупые боты не долбятся
хм..как вариант, но не то
познаю истину, хочу быть свободным

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: ssh и боты

Непрочитанное сообщение Morty » 2007-10-03 12:53:39

у меня так же решилось - просто перекинул ссш порт на др
...
помоему на сайте где то есть статья по настройке демона
который лопатит логи и блочит адреса файерволом
я пробовал из портов bruteblock, там вроде как все просто в настройке но -))))
вопшем он у меня в холостую работал, нечего в таблицу ipfw не добавлял и я его снёс

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: ssh и боты

Непрочитанное сообщение demondem10 » 2007-10-03 13:45:12

Не пробывал но видел такую штуку!!!
ssh открывает 22 порт только когда клиент по заранее установленному порядку стучится на указанные порты
тогда ipfw открывает 22 и форвардит юзера туды! Это должно решить твои проблемы!
Вот почитай http://www.lissyara.su/?id=1283
Знания принадлежат человечеству!!!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2007-10-03 13:57:20

есть такой в портах - pam_abl - у меня правда влёт не завёлся, но днях по наличию времени доковыряю, ибо автор грит у него таких проблем нет...
тем боле надо - у нас одна машинка ssh наружу смотрит
Убей их всех! Бог потом рассортирует...

lookout
рядовой
Сообщения: 35
Зарегистрирован: 2006-09-18 16:18:39
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение lookout » 2007-10-03 14:17:21

а нет ничего более проще ...а то все как то уж слишком запутанно
познаю истину, хочу быть свободным

Аватара пользователя
demondem10
сержант
Сообщения: 284
Зарегистрирован: 2007-07-10 11:00:10
Откуда: kazakhstan

Re: ssh и боты

Непрочитанное сообщение demondem10 » 2007-10-03 14:31:35

Закрой 22 !!! проше некуда! :D
Знания принадлежат человечеству!!!

lookout
рядовой
Сообщения: 35
Зарегистрирован: 2006-09-18 16:18:39
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение lookout » 2007-10-03 14:45:03

demondem10 писал(а):Закрой 22 !!! проше некуда! :D
это уже слишком просто :D будем искать как сделать закрытей систему без прикручивания дополнительных прог
познаю истину, хочу быть свободным

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: ssh и боты

Непрочитанное сообщение reLax » 2007-10-03 19:08:46

Код: Выделить всё

Oct  3 16:05:44 blackice sshd[29398]: Did not receive identification string from 66.8.94.86
Oct  3 16:12:11 blackice sshd[34363]: Invalid user webmaster from 66.8.94.86
Oct  3 16:12:17 blackice sshd[34366]: User root from scannergp.bit.co.za not allowed because not listed in AllowUsers
Oct  3 16:12:20 blackice sshd[34368]: Invalid user ftp from 66.8.94.86
Oct  3 16:12:20 blackice sshguard[69575]: Blocking 66.8.94.86: 3 failures over 9 seconds.
Oct  3 16:13:17 blackice sshd[34368]: fatal: Timeout before authentication for 66.8.94.86
Oct  3 16:23:56 blackice sshguard[69575]: Releasing 66.8.94.86 after 696 seconds.
Ну и пусть стучатся, что тебе, жалко чтоли. В sshguard пришлось немного подправить исходник правда, чтобы в таблицу ipfw добавлял :) за шлюзом Cisco стоит, сначало тоже порт на ней поменял, потом просто интересно стало, сколько му-ов стучится в ssh, в итоге на 22 так и оставил. Уже как год почти

lookout
рядовой
Сообщения: 35
Зарегистрирован: 2006-09-18 16:18:39
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение lookout » 2007-10-08 16:15:37

наконфигал свой ssh так что теперь даже боты не стучаться, у человека есть 10 секунд что бы залогиниться потом отрубаеться, есть 3 попытки на введение правильного пароля, есть проверка ip адреса, есть правило в firewall на блокировку ботов..если что то случаетсья из списка то sshd блокируеться и закрывает ip желающего приконектиться.. Результат: если раньше ломились боты как сумашедчие ..то сейчай две попытки за сутки ..думаю хороший результат... возможно напишу статью по конфигуривании sshd :D
познаю истину, хочу быть свободным

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение schizoid » 2007-10-08 16:28:51

вот тока ламают не тока по ссх ;)
ядерный взрыв...смертельно красиво...жаль, что не вечно...

lookout
рядовой
Сообщения: 35
Зарегистрирован: 2006-09-18 16:18:39
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение lookout » 2007-10-08 16:38:07

schizoid писал(а):вот тока ламают не тока по ссх ;)
:lol: но я же не говорю что ssh это самое главное и самое крутое ...есть еще много чего вкусного и приятного :wink:
познаю истину, хочу быть свободным

kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение kmb » 2007-10-08 19:45:37

вот на сайте: sshit - защита от подбора паролей ssh/ftp
правда у меня нормально не работает) меня или кого-то кто проверяет блочит, а подлых ботов нет) странно)
truth is out there...

lookout
рядовой
Сообщения: 35
Зарегистрирован: 2006-09-18 16:18:39
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение lookout » 2007-10-09 10:42:31

kmb писал(а):вот на сайте: sshit - защита от подбора паролей ssh/ftp
правда у меня нормально не работает) меня или кого-то кто проверяет блочит, а подлых ботов нет) странно)
хорошенькая статья..вот только под linux я такого не знаю... хотя подчерпнул для себя правило для iptables (да из них уже у меня были)
познаю истину, хочу быть свободным

vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Re: ssh и боты

Непрочитанное сообщение vygov » 2007-10-22 11:14:10

Гы, прикол. Примерно с двух часов ночи каждые две минуты в auth.log валится такое ссобщение:
sshd[....] error: PAM: authentication failure
Ни ай-пи, ничего больше нет. Это бот ломится или какая-то системная ошибка?

vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Re: ssh и боты

Непрочитанное сообщение vygov » 2007-10-22 11:37:29

Лавина из дерьма! :-) Теперь уже внаглую ломятся, даже ай-пи не скрывают. Кстати, айпишник похож на реальный, пробил по whois - белорусская контора.

P.S.Порт что-ли сменить, логи только мусорят.

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение dikens3 » 2007-10-22 12:27:26

vygov писал(а):Лавина из дерьма! :-) Теперь уже внаглую ломятся, даже ай-пи не скрывают. Кстати, айпишник похож на реальный, пробил по whois - белорусская контора.

P.S.Порт что-ли сменить, логи только мусорят.
Ботов/вирусов полно. Не обязательно хакеры. Разве что косвенно.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2007-10-22 13:10:50

Код: Выделить всё

/usr/ports/security/pam_abl/
никто не юзал?
у меня не работает, а по самой идее - самое лучшее из того что встречал...
Убей их всех! Бог потом рассортирует...

vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Re: ssh и боты

Непрочитанное сообщение vygov » 2007-10-22 14:58:22

По ходу вопрос по ssh. Сменил порт в sshd.conf, перегрузил(sshd restart не сработало, хотя писало, что аргументы перегружены), 22-й залочился, нужный открылся. А вот откуда система берет по умолчанию параметры для ssh-порта? Глянул в sshd, все строки были закомментированы. Откуда и с какими параметрами работает ssh по умолчанию?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2007-10-22 16:18:47

вкомпилены, думаю.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение dikens3 » 2007-10-22 19:53:22

vygov писал(а):По ходу вопрос по ssh. Сменил порт в sshd.conf, перегрузил(sshd restart не сработало, хотя писало, что аргументы перегружены), 22-й залочился, нужный открылся. А вот откуда система берет по умолчанию параметры для ssh-порта? Глянул в sshd, все строки были закомментированы. Откуда и с какими параметрами работает ssh по умолчанию?
А я думаю, что всё что закомментировано в конфиге, и есть настройки по умолчанию.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Re: ssh и боты

Непрочитанное сообщение vygov » 2007-10-23 8:01:58

Не думаю. Добавляю туда под комментом любые настройки - не включаются.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ssh и боты

Непрочитанное сообщение Alex Keda » 2007-10-23 8:26:32

vygov писал(а):Не думаю. Добавляю туда под комментом любые настройки - не включаются.
имеется ввиду - они как пример перечислены.
сами же дефолтовые настройки - вкомпилены в бинарник, на то они и дефолтовые
Убей их всех! Бог потом рассортирует...

vygov
рядовой
Сообщения: 39
Зарегистрирован: 2007-10-09 15:12:53

Re: ssh и боты

Непрочитанное сообщение vygov » 2007-10-23 12:06:53

Заметил за демоном sshd одну неприятную особенность. При смене порта в sshd.config и перегрузке демона, новый порт подключается, но и старый остается работать. Отключается он только при перезагрузке системы. Так и должно работать или это я что-то неправильно делаю?