вопросс безопастности

BI_J · Непрочитанное сообщение **BI_J** » 2008-09-24 21:12:24

Доброго времени суток !
Вот такая неприятная штука произошла....

На первую консоль сервера валятся сообщения о том, что кто то из мира пытается залогинится по ssh или pppd с пользователем user, manager, admin, administrator и т.д. этот перебор с одного и того же IP, потом с другого похожее дело

А еще в /var/log/security валиться вот такая беда:

Код: Выделить всё

kernel: ipfw: 6500 Deny TCP 10.0.18.14:3467 10.0.22.4:445 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.18.14:3468 10.0.22.4:139 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.18.14:3468 10.0.22.4:139 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.18.14:3467 10.0.22.4:445 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.18.14:3468 10.0.22.4:139 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.18.14:3467 10.0.22.4:445 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.19.131:1540 10.0.22.4:445 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.19.131:1541 10.0.22.4:139 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.19.131:1540 10.0.22.4:445 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.19.131:1541 10.0.22.4:139 in via nve0

Интерфейс 10.0.22.4 via nve0 смотрит в сеть провайдера, который по IP-тунелю выпускаем сервер в мир. Непонятно почему в одни и теже потры клюют.

Подскажите как с этим бороться. Было бы здорово, если бы после 2-3 попыток неудачного конекта удаленные хосты попадали в какойто "блэклист", или каким-то другим способом блокировались. Как это сделать ???

Спасибо.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

zg · Непрочитанное сообщение zg » 2008-09-24 21:17:46

man hosts.allow

dikens3 · Непрочитанное сообщение **dikens3** » 2008-09-24 21:40:11

kernel: ipfw: 6500 Deny TCP 10.0.19.131:1540 10.0.22.4:445 in via nve0
kernel: ipfw: 6500 Deny TCP 10.0.19.131:1541 10.0.22.4:139 in via nve0

99% какой-нибудь windows смотрящий в инет. Эти порты использует SMB протокол.

Я тупо блокирую эти порты и даже логов не веду.

BI_J · Непрочитанное сообщение **BI_J** » 2008-09-25 2:55:27

Вот опять беда в логах

:

Код: Выделить всё

sshd[40755]: error: PAM: authentication error for illegal user fsetest from 121.33.199.37
sshd[40766]: error: PAM: authentication error for illegal user funix from 87.204.37.74
sshd[40782]: error: PAM: authentication error for illegal user weby from 200.181.58.226
sshd[40809]: error: PAM: authentication error for illegal user l.bouchut from 68.116.46.9
sshd[40818]: error: PAM: authentication error for illegal user dieu from 91.113.242.26

gloom · Непрочитанное сообщение **gloom** » 2008-09-25 3:05:24

BI_J писал(а):Вот опять беда в логах

:

Код: Выделить всё

sshd[40755]: error: PAM: authentication error for illegal user fsetest from 121.33.199.37
sshd[40766]: error: PAM: authentication error for illegal user funix from 87.204.37.74
sshd[40782]: error: PAM: authentication error for illegal user weby from 200.181.58.226
sshd[40809]: error: PAM: authentication error for illegal user l.bouchut from 68.116.46.9
sshd[40818]: error: PAM: authentication error for illegal user dieu from 91.113.242.26

ботнет какой-то подбирает пароль... такое везде где ssh торчит наружу

BI_J · Непрочитанное сообщение **BI_J** » 2008-09-25 4:31:03

от этого можно как то избавиться ??

zg · Непрочитанное сообщение zg » 2008-09-25 5:43:49

закрой ссх в hosts.allow, оставь только доверенные зоны

schizoid

или перевесь ссх на другой порт, от ботов спасет

я заюзал для себя sshguard-ipfw и никакого гемора теперь не имею...

princeps

BI_J писал(а):Было бы здорово, если бы после 2-3 попыток неудачного конекта удаленные хосты попадали в какойто "блэклист", или каким-то другим способом блокировались. Как это сделать ???

Может это подойдет:
http://www.lissyara.su/?id=1069

Kolobrod

sshit на сайте lissaray, и timeout выставляй по своему усмотрению ( у меня 3000 секунд) + в ssh добавь только коннект на одного пользователя ( у меня , я любимый и через su выполняю команды), можешь использовать еще нестандартный порт заранее прописанный в ssh и открытый в ipfw

BI_J · Непрочитанное сообщение **BI_J** » 2008-09-29 0:50:21

Спасибо всем, сегодня буду пробовать

forum.lissyara.su

вопросс безопастности

вопросс безопастности

Услуги хостинговой компании Host-Food.ru

Re: вопросс безопастности

Re: вопросс безопастности

Re: вопросс безопастности

Re: вопросс безопастности

Re: вопросс безопастности

Re: вопросс безопастности

Re: вопросс безопастности

Re: вопросс безопастности

Re: вопросс безопастности

Re: вопросс безопастности

Re: вопросс безопастности