ssh и боты
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2006-09-18 16:18:39
- Контактная информация:
ssh и боты
Встала такая задачка.
Есть сервер на который разрешено соединятсья по ssh всем ip но только перечисленному списку пользователей, запрещен прямой вход root и другие хорошие правила...но просматривая логи ssh увидел что ко мне повадился заходить один пользователь с определенного ip (скорей всего через прокси) и давай перебирать логины и пароли (у него конечно ничего не вышло). Посмотрев я на это на firewall закрыл его..на следующее утро он поменял видно прокси и снова за свое, с неудачными попытками. Нашел в инете правила firewall которые закрывают соединение если логиньтсья быстрей чем за 20 сек, тоесть если ты бот то набираешь все быстро и тебя отбрасывают... все хорошо ..но можно ли сделать что бы такие же самые правила можно было прописать в sshd.conf (слышал такое возможно)? да и вообще как еще можно бороться с такими вот кул-хацкерами что бы они не засоряли логи своими попытками ?
Есть сервер на который разрешено соединятсья по ssh всем ip но только перечисленному списку пользователей, запрещен прямой вход root и другие хорошие правила...но просматривая логи ssh увидел что ко мне повадился заходить один пользователь с определенного ip (скорей всего через прокси) и давай перебирать логины и пароли (у него конечно ничего не вышло). Посмотрев я на это на firewall закрыл его..на следующее утро он поменял видно прокси и снова за свое, с неудачными попытками. Нашел в инете правила firewall которые закрывают соединение если логиньтсья быстрей чем за 20 сек, тоесть если ты бот то набираешь все быстро и тебя отбрасывают... все хорошо ..но можно ли сделать что бы такие же самые правила можно было прописать в sshd.conf (слышал такое возможно)? да и вообще как еще можно бороться с такими вот кул-хацкерами что бы они не засоряли логи своими попытками ?
познаю истину, хочу быть свободным
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: ssh и боты
я к примеру перевесил ссх на другой порт, по крайней мере тупые боты не долбятся
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2006-09-18 16:18:39
- Контактная информация:
Re: ssh и боты
хм..как вариант, но не тоschizoid писал(а):я к примеру перевесил ссх на другой порт, по крайней мере тупые боты не долбятся
познаю истину, хочу быть свободным
- Morty
- ст. лейтенант
- Сообщения: 1370
- Зарегистрирован: 2007-07-17 23:25:12
Re: ssh и боты
у меня так же решилось - просто перекинул ссш порт на др
...
помоему на сайте где то есть статья по настройке демона
который лопатит логи и блочит адреса файерволом
я пробовал из портов bruteblock, там вроде как все просто в настройке но -))))
вопшем он у меня в холостую работал, нечего в таблицу ipfw не добавлял и я его снёс
...
помоему на сайте где то есть статья по настройке демона
который лопатит логи и блочит адреса файерволом
я пробовал из портов bruteblock, там вроде как все просто в настройке но -))))
вопшем он у меня в холостую работал, нечего в таблицу ipfw не добавлял и я его снёс
- demondem10
- сержант
- Сообщения: 284
- Зарегистрирован: 2007-07-10 11:00:10
- Откуда: kazakhstan
Re: ssh и боты
Не пробывал но видел такую штуку!!!
ssh открывает 22 порт только когда клиент по заранее установленному порядку стучится на указанные порты
тогда ipfw открывает 22 и форвардит юзера туды! Это должно решить твои проблемы!
Вот почитай http://www.lissyara.su/?id=1283
ssh открывает 22 порт только когда клиент по заранее установленному порядку стучится на указанные порты
тогда ipfw открывает 22 и форвардит юзера туды! Это должно решить твои проблемы!
Вот почитай http://www.lissyara.su/?id=1283
Знания принадлежат человечеству!!!
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: ssh и боты
есть такой в портах - pam_abl - у меня правда влёт не завёлся, но днях по наличию времени доковыряю, ибо автор грит у него таких проблем нет...
тем боле надо - у нас одна машинка ssh наружу смотрит
тем боле надо - у нас одна машинка ssh наружу смотрит
Убей их всех! Бог потом рассортирует...
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2006-09-18 16:18:39
- Контактная информация:
Re: ssh и боты
а нет ничего более проще ...а то все как то уж слишком запутанно
познаю истину, хочу быть свободным
- demondem10
- сержант
- Сообщения: 284
- Зарегистрирован: 2007-07-10 11:00:10
- Откуда: kazakhstan
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2006-09-18 16:18:39
- Контактная информация:
Re: ssh и боты
это уже слишком просто будем искать как сделать закрытей систему без прикручивания дополнительных прогdemondem10 писал(а):Закрой 22 !!! проше некуда!
познаю истину, хочу быть свободным
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Re: ssh и боты
Код: Выделить всё
Oct 3 16:05:44 blackice sshd[29398]: Did not receive identification string from 66.8.94.86
Oct 3 16:12:11 blackice sshd[34363]: Invalid user webmaster from 66.8.94.86
Oct 3 16:12:17 blackice sshd[34366]: User root from scannergp.bit.co.za not allowed because not listed in AllowUsers
Oct 3 16:12:20 blackice sshd[34368]: Invalid user ftp from 66.8.94.86
Oct 3 16:12:20 blackice sshguard[69575]: Blocking 66.8.94.86: 3 failures over 9 seconds.
Oct 3 16:13:17 blackice sshd[34368]: fatal: Timeout before authentication for 66.8.94.86
Oct 3 16:23:56 blackice sshguard[69575]: Releasing 66.8.94.86 after 696 seconds.
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2006-09-18 16:18:39
- Контактная информация:
Re: ssh и боты
наконфигал свой ssh так что теперь даже боты не стучаться, у человека есть 10 секунд что бы залогиниться потом отрубаеться, есть 3 попытки на введение правильного пароля, есть проверка ip адреса, есть правило в firewall на блокировку ботов..если что то случаетсья из списка то sshd блокируеться и закрывает ip желающего приконектиться.. Результат: если раньше ломились боты как сумашедчие ..то сейчай две попытки за сутки ..думаю хороший результат... возможно напишу статью по конфигуривании sshd
познаю истину, хочу быть свободным
- schizoid
- подполковник
- Сообщения: 3228
- Зарегистрирован: 2007-03-03 17:32:31
- Откуда: Украина, Чернигов
- Контактная информация:
Re: ssh и боты
вот тока ламают не тока по ссх
ядерный взрыв...смертельно красиво...жаль, что не вечно...
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2006-09-18 16:18:39
- Контактная информация:
Re: ssh и боты
но я же не говорю что ssh это самое главное и самое крутое ...есть еще много чего вкусного и приятногоschizoid писал(а):вот тока ламают не тока по ссх
познаю истину, хочу быть свободным
-
- лейтенант
- Сообщения: 680
- Зарегистрирован: 2007-02-20 8:30:03
- Контактная информация:
Re: ssh и боты
вот на сайте: sshit - защита от подбора паролей ssh/ftp
правда у меня нормально не работает) меня или кого-то кто проверяет блочит, а подлых ботов нет) странно)
правда у меня нормально не работает) меня или кого-то кто проверяет блочит, а подлых ботов нет) странно)
truth is out there...
-
- рядовой
- Сообщения: 35
- Зарегистрирован: 2006-09-18 16:18:39
- Контактная информация:
Re: ssh и боты
хорошенькая статья..вот только под linux я такого не знаю... хотя подчерпнул для себя правило для iptables (да из них уже у меня были)kmb писал(а):вот на сайте: sshit - защита от подбора паролей ssh/ftp
правда у меня нормально не работает) меня или кого-то кто проверяет блочит, а подлых ботов нет) странно)
познаю истину, хочу быть свободным
-
- рядовой
- Сообщения: 39
- Зарегистрирован: 2007-10-09 15:12:53
Re: ssh и боты
Гы, прикол. Примерно с двух часов ночи каждые две минуты в auth.log валится такое ссобщение:
sshd[....] error: PAM: authentication failure
Ни ай-пи, ничего больше нет. Это бот ломится или какая-то системная ошибка?
sshd[....] error: PAM: authentication failure
Ни ай-пи, ничего больше нет. Это бот ломится или какая-то системная ошибка?
-
- рядовой
- Сообщения: 39
- Зарегистрирован: 2007-10-09 15:12:53
Re: ssh и боты
Лавина из дерьма! :-) Теперь уже внаглую ломятся, даже ай-пи не скрывают. Кстати, айпишник похож на реальный, пробил по whois - белорусская контора.
P.S.Порт что-ли сменить, логи только мусорят.
P.S.Порт что-ли сменить, логи только мусорят.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: ssh и боты
Ботов/вирусов полно. Не обязательно хакеры. Разве что косвенно.vygov писал(а):Лавина из дерьма! :-) Теперь уже внаглую ломятся, даже ай-пи не скрывают. Кстати, айпишник похож на реальный, пробил по whois - белорусская контора.
P.S.Порт что-ли сменить, логи только мусорят.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: ssh и боты
Код: Выделить всё
/usr/ports/security/pam_abl/
у меня не работает, а по самой идее - самое лучшее из того что встречал...
Убей их всех! Бог потом рассортирует...
-
- рядовой
- Сообщения: 39
- Зарегистрирован: 2007-10-09 15:12:53
Re: ssh и боты
По ходу вопрос по ssh. Сменил порт в sshd.conf, перегрузил(sshd restart не сработало, хотя писало, что аргументы перегружены), 22-й залочился, нужный открылся. А вот откуда система берет по умолчанию параметры для ssh-порта? Глянул в sshd, все строки были закомментированы. Откуда и с какими параметрами работает ssh по умолчанию?
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: ssh и боты
А я думаю, что всё что закомментировано в конфиге, и есть настройки по умолчанию.vygov писал(а):По ходу вопрос по ssh. Сменил порт в sshd.conf, перегрузил(sshd restart не сработало, хотя писало, что аргументы перегружены), 22-й залочился, нужный открылся. А вот откуда система берет по умолчанию параметры для ssh-порта? Глянул в sshd, все строки были закомментированы. Откуда и с какими параметрами работает ssh по умолчанию?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
-
- рядовой
- Сообщения: 39
- Зарегистрирован: 2007-10-09 15:12:53
Re: ssh и боты
Не думаю. Добавляю туда под комментом любые настройки - не включаются.
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: ssh и боты
имеется ввиду - они как пример перечислены.vygov писал(а):Не думаю. Добавляю туда под комментом любые настройки - не включаются.
сами же дефолтовые настройки - вкомпилены в бинарник, на то они и дефолтовые
Убей их всех! Бог потом рассортирует...
-
- рядовой
- Сообщения: 39
- Зарегистрирован: 2007-10-09 15:12:53
Re: ssh и боты
Заметил за демоном sshd одну неприятную особенность. При смене порта в sshd.config и перегрузке демона, новый порт подключается, но и старый остается работать. Отключается он только при перезагрузке системы. Так и должно работать или это я что-то неправильно делаю?