Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-06-01 10:20:26
Всем привет!
В логах /var/log/auth.log валятся логи через каждые 30 секунд.
Код: Выделить всё
Jun 1 10:08:16 bsd sshd[11649]: Did not receive identification string from 192.168.10.12
Jun 1 10:08:46 bsd sshd[11661]: Did not receive identification string from 192.168.10.12
Jun 1 10:09:16 bsd sshd[11671]: Did not receive identification string from 192.168.10.12
Jun 1 10:09:46 bsd sshd[11685]: Did not receive identification string from 192.168.10.12
Jun 1 10:10:16 bsd sshd[11701]: Did not receive identification string from 192.168.10.12
Jun 1 10:10:46 bsd sshd[11716]: Did not receive identification string from 192.168.10.12
Jun 1 10:11:16 bsd sshd[11745]: Did not receive identification string from 192.168.10.12
Jun 1 10:11:46 bsd sshd[11761]: Did not receive identification string from 192.168.10.12
Jun 1 10:12:16 bsd sshd[11770]: Did not receive identification string from 192.168.10.12
Jun 1 10:12:46 bsd sshd[11789]: Did not receive identification string from 192.168.10.12
Jun 1 10:13:16 bsd sshd[11809]: Did not receive identification string from 192.168.10.12
Подскажите пожалуйста как можно устранить данный вид брутфорса.
Заранее спасибо.
Последний раз редактировалось
f_andrey 2010-06-01 11:29:36, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.
Гость
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-06-01 11:07:37
gonzo111 писал(а):смени порт с 22 сперва
То есть в
/etc/ssh/ssh_config :
Код: Выделить всё
# Host *
# ForwardAgent no
# ForwardX11 no
# RhostsRSAAuthentication no
# RSAAuthentication yes
# PasswordAuthentication yes
# HostbasedAuthentication no
# GSSAPIAuthentication no
# GSSAPIDelegateCredentials no
# BatchMode no
# CheckHostIP no
# AddressFamily any
# ConnectTimeout 0
# StrictHostKeyChecking ask
# IdentityFile ~/.ssh/identity
# IdentityFile ~/.ssh/id_rsa
# IdentityFile ~/.ssh/id_dsa
# Port 22
# Protocol 2,1
...
Поменять Port 22 на Port 2022 к примеру?
Гость
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-06-01 11:16:16
thefree писал(а):Код: Выделить всё
deny tcp from 192.168.10.12 to me 22 in via интерфейс
Не помогло
После применение данного правило, связь по ссх у меня (с ип 192.168.10.14 )обрывается.
Правда я вписал данное правило под первом номером, так как это правило должно касаться только ип 192.168.10.12 но ни как других юзеров.
Еще еще такая вещь:
Код: Выделить всё
#sockstat -4 -p 22
USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS
bakar sshd 15458 3 tcp4 192.168.10.2:22 192.168.10.14:11725
root sshd 15452 3 tcp4 192.168.10.2:22 192.168.10.14:11725
root sshd 1501 4 tcp4 *:22 *:*
192.168.10.14 - мой ип
192.168.10.2 - ип фрибсд
Гость
-
thefree
- лейтенант
- Сообщения: 980
- Зарегистрирован: 2008-12-29 9:23:19
- Откуда: Весёлая Страна
Непрочитанное сообщение
thefree » 2010-06-01 13:44:24
хм, покажи все свои правила.
впиши его перед тем где у тебя открывается 22 порт.
самым первым не стоит писать
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету
thefree
-
manefesto
- Группенфюррер
- Сообщения: 6934
- Зарегистрирован: 2007-07-20 8:27:30
- Откуда: Пермь
-
Контактная информация:
Непрочитанное сообщение
manefesto » 2010-06-01 15:19:39
[16:55]|
root@server.manefesto| manefesto/>cat /etc/pf.conf
mpd_if="re0"
ext_if="ng0"
int_if="wlan0"
localnet="{192.168.33.0/24,127.0.0.1}"
table <bruteforce> persist
rdr pass on $int_if proto tcp from $localnet to any port www -> 127.0.0.1 port 3128
pass in proto tcp from any to any port ssh flags S/SA keep state \
(source-track rule, max-src-conn-rate 2/10, overload <bruteforce> flush global)
block drop in quick from <bruteforce> to any
block out quick from any to <bruteforce>
я такой яростный шо аж пизде
Ц
manefesto
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-06-01 15:36:27
manefesto писал(а):[16:55]|
root@server.manefesto| manefesto/>cat /etc/pf.conf
mpd_if="re0"
ext_if="ng0"
int_if="wlan0"
localnet="{192.168.33.0/24,127.0.0.1}"
table <bruteforce> persist
rdr pass on $int_if proto tcp from $localnet to any port www -> 127.0.0.1 port 3128
pass in proto tcp from any to any port ssh flags S/SA keep state \
(source-track rule, max-src-conn-rate 2/10, overload <bruteforce> flush global)
block drop in quick from <bruteforce> to any
block out quick from any to <bruteforce>
Спасибо, но у меня ipfw
Гость
-
ttys
- *BSD
- Сообщения: 402
- Зарегистрирован: 2009-06-26 8:37:11
- Откуда: Ростов-на-Дону
-
Контактная информация:
Непрочитанное сообщение
ttys » 2010-06-01 15:40:40
Гость писал(а):
Спасибо, но у меня ipfw
/usr/ports/security/sshguard-ipfw/
Код: Выделить всё
Blocking addresses with IPFW
In this scenario, the host running sshguard runs IPFW, that has to be configured for accepting blocking rules from sshguard.
Adjusting passing rule priority
With IPFW, sshguard adds blocking rules with IDs from 55000 to 55050 by default. If a pass rule appears before these, it is applied because IPFW runs a first-match-win policy.
If you have an allow policy higher than 55050 in your IPFW chain, move it to a lower priority. E.g.:
ipfw list
# 1240 allow ip from any to me 22
ipfw del 1240
ipfw add 56000 allow ip from any to me 22
This command will display the set of addresses blocked by sshguard at any time:
ipfw list | awk '{ if($1 >= 55000 && $1 <= 55050) print $5 }'
IPv6 support
If you want IPv6 support, check ip6fw (instead of ipfw) to make the same adjustments. Sshguard will automatically interface to this chain when IPv6 addresses need to be blocked.
ttys
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2010-06-01 21:27:56
хм..... дай вывод такой команды
Да как удав! Работаю.
Gendos
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-06-02 10:07:03
Gendos писал(а):хм..... дай вывод такой команды
Код: Выделить всё
#nmap 192.168.10.12
Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-02 09:58 EEST
Interesting ports on 12.10.168.192.in-addr.arpa (192.168.10.12):
Not shown: 986 closed ports
PORT STATE SERVICE
25/tcp open smtp
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1043/tcp open boinc
1045/tcp open unknown
1110/tcp open nfsd-status
1801/tcp open unknown
2103/tcp open zephyr-clt
2105/tcp open eklogin
2107/tcp open unknown
3389/tcp open ms-term-serv
6129/tcp open unknown
19780/tcp open unknown
MAC Address: 00:30:05:B9:AD:0E (Fujitsu Siemens Computers)
Nmap done: 1 IP address (1 host up) scanned in 296.72 seconds
Гость
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2010-06-02 11:25:07
Что за зверь такой, занимающийся распределенными вычислениями на M$. Это пользовательская машина или сервер?
------------------------------------размышления------------------------------------------
Похоже, что сервер..
Вроде видимых портов на которой пасутся твари невидно....
Может все же яка тварь завелась.....
Неплохо бы её netstat посмотреть...
---------------------------------------------------------------------------------------------------
Да как удав! Работаю.
Gendos
-
ivan_k
- мл. сержант
- Сообщения: 103
- Зарегистрирован: 2010-01-27 16:00:37
- Откуда: Иваново
Непрочитанное сообщение
ivan_k » 2010-06-02 11:37:21
Напишите в ipfw правило, которое будет разрешать конектиться к 22 порту только с Вашего ip
в sshd_config добавьте строку(на всякий
)
ivan_k
-
Mox
- лейтенант
- Сообщения: 757
- Зарегистрирован: 2008-12-16 16:04:14
- Откуда: питер
-
Контактная информация:
Непрочитанное сообщение
Mox » 2010-06-02 12:11:07
Гость писал(а):Gendos писал(а):хм..... дай вывод такой команды
Код: Выделить всё
#nmap 192.168.10.12
Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-02 09:58 EEST
Interesting ports on 12.10.168.192.in-addr.arpa (192.168.10.12):
Not shown: 986 closed ports
PORT STATE SERVICE
25/tcp open smtp
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1043/tcp open boinc
1045/tcp open unknown
1110/tcp open nfsd-status
1801/tcp open unknown
2103/tcp open zephyr-clt
2105/tcp open eklogin
2107/tcp open unknown
3389/tcp open ms-term-serv
6129/tcp open unknown
19780/tcp open unknown
MAC Address: 00:30:05:B9:AD:0E (Fujitsu Siemens Computers)
Nmap done: 1 IP address (1 host up) scanned in 296.72 seconds
походу чей-то ноут
"В мире программирования алгоритмы становятся более важными, чем код, и именно из-за академических корней в BSD изначально большое внимание уделялось проработке алгоритмов". Мэтт Диллон
Mox
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2010-06-02 12:19:07
Mox писал(а):Гость писал(а):Gendos писал(а):хм..... дай вывод такой команды
Код: Выделить всё
#nmap 192.168.10.12
Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-02 09:58 EEST
Interesting ports on 12.10.168.192.in-addr.arpa (192.168.10.12):
Not shown: 986 closed ports
PORT STATE SERVICE
25/tcp open smtp
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1043/tcp open boinc
1045/tcp open unknown
1110/tcp open nfsd-status
1801/tcp open unknown
2103/tcp open zephyr-clt
2105/tcp open eklogin
2107/tcp open unknown
3389/tcp open ms-term-serv
6129/tcp open unknown
19780/tcp open unknown
MAC Address: 00:30:05:B9:AD:0E (Fujitsu Siemens Computers)
Nmap done: 1 IP address (1 host up) scanned in 296.72 seconds
походу чей-то ноут
Вполне возможно...
Да как удав! Работаю.
Gendos
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-06-02 14:09:15
Пардон ребята за неуточнение.
Машина которая ломиться на мой компьютер это рабочая станция на Windows XP? обычный компьютер.
Команда
netstat с компьютера гада выдает огромный вывод, из него я выбрал только то что касается моего сервера:
Код: Выделить всё
TCP ORIGIN:4718 192.168.10.12:pop3 TIME_WAIT
TCP ORIGIN:4822 192.168.10.12:smtp TIME_WAIT
И вот такой интересный вывод с данного компьютера по отношение других станции моей сети:
Код: Выделить всё
TCP ORIGIN:4794 desktop.mc.macro.com:ftp TIME_WAIT
TCP ORIGIN:4801 adde90a.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4805 pc.mc.macro.com:22 TIME_WAIT
TCP ORIGIN:4806 compiz.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4807 sp4a.mc.macro.com:smtp TIME_WAIT
TCP ORIGIN:4815 192.168.10.102:22 TIME_WAIT
TCP ORIGIN:4818 ORIGIN.mc.macro.com:smtp TIME_WAIT
TCP ORIGIN:4822 192.168.10.6:smtp TIME_WAIT
TCP ORIGIN:4834 prizma.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4839 192.168.10.103:ftp TIME_WAIT
TCP ORIGIN:4857 sti-hi.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4858 djg4sh4j.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4869 waor.mc.macro.com:ftp TIME_WAIT
TCP ORIGIN:4871 sti-a39e2.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4878 origin.mc.macro.com:2210 SYN_SENT
TCP ORIGIN:4879 microsof-41a8.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4883 sol-pc.mc.macro.com:http TIME_WAIT
TCP ORIGIN:4894 waor.mc.macro.com:nntp TIME_WAIT
TCP ORIGIN:4896 192.168.10.70:22 TIME_WAIT
TCP ORIGIN:4900 microsof-41b3a8.mc.macro.com:ftp TIME_WAIT
TCP ORIGIN:4902 192.168.10.71:smtp TIME_WAIT
TCP ORIGIN:4911 ps1.mc.macro.com:smtp TIME_WAIT
TCP ORIGIN:4913 desktop.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4916 blind.mc.macro.com:ftp TIME_WAIT
TCP ORIGIN:4917 192.168.10.150:22 TIME_WAIT
TCP ORIGIN:4918 192.168.10.4:22 TIME_WAIT
TCP ORIGIN:4921 waor.mc.macro.com:smtp TIME_WAIT
TCP ORIGIN:4926 192.168.11.58:2210 TIME_WAIT
Создает гад соединение на 22-ом и 2210-ом порту.
Что предпринять дальше?
Спасибо.
Гость
-
ttys
- *BSD
- Сообщения: 402
- Зарегистрирован: 2009-06-26 8:37:11
- Откуда: Ростов-на-Дону
-
Контактная информация:
Непрочитанное сообщение
ttys » 2010-06-02 14:32:21
Гость писал(а):Пардон ребята за неуточнение.
Машина которая ломиться на мой компьютер это рабочая станция на Windows XP? обычный компьютер.
Команда
netstat с компьютера гада выдает огромный вывод, из него я выбрал только то что касается моего сервера:
Код: Выделить всё
TCP ORIGIN:4718 192.168.10.12:pop3 TIME_WAIT
TCP ORIGIN:4822 192.168.10.12:smtp TIME_WAIT
И вот такой интересный вывод с данного компьютера по отношение других станции моей сети:
Код: Выделить всё
TCP ORIGIN:4794 desktop.mc.macro.com:ftp TIME_WAIT
TCP ORIGIN:4801 adde90a.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4805 pc.mc.macro.com:22 TIME_WAIT
TCP ORIGIN:4806 compiz.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4807 sp4a.mc.macro.com:smtp TIME_WAIT
TCP ORIGIN:4815 192.168.10.102:22 TIME_WAIT
TCP ORIGIN:4818 ORIGIN.mc.macro.com:smtp TIME_WAIT
TCP ORIGIN:4822 192.168.10.6:smtp TIME_WAIT
TCP ORIGIN:4834 prizma.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4839 192.168.10.103:ftp TIME_WAIT
TCP ORIGIN:4857 sti-hi.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4858 djg4sh4j.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4869 waor.mc.macro.com:ftp TIME_WAIT
TCP ORIGIN:4871 sti-a39e2.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4878 origin.mc.macro.com:2210 SYN_SENT
TCP ORIGIN:4879 microsof-41a8.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4883 sol-pc.mc.macro.com:http TIME_WAIT
TCP ORIGIN:4894 waor.mc.macro.com:nntp TIME_WAIT
TCP ORIGIN:4896 192.168.10.70:22 TIME_WAIT
TCP ORIGIN:4900 microsof-41b3a8.mc.macro.com:ftp TIME_WAIT
TCP ORIGIN:4902 192.168.10.71:smtp TIME_WAIT
TCP ORIGIN:4911 ps1.mc.macro.com:smtp TIME_WAIT
TCP ORIGIN:4913 desktop.mc.macro.com:2210 TIME_WAIT
TCP ORIGIN:4916 blind.mc.macro.com:ftp TIME_WAIT
TCP ORIGIN:4917 192.168.10.150:22 TIME_WAIT
TCP ORIGIN:4918 192.168.10.4:22 TIME_WAIT
TCP ORIGIN:4921 waor.mc.macro.com:smtp TIME_WAIT
TCP ORIGIN:4926 192.168.11.58:2210 TIME_WAIT
Создает гад соединение на 22-ом и 2210-ом порту.
Что предпринять дальше?
Спасибо.
kill все разделы и поставь виндавоз по новой
не заметил сразу там ещё и smtp присутствует.
ttys
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-06-02 15:22:24
ttys писал(а):kill все разделы и поставь виндавоз по новой
не заметил сразу там ещё и smtp присутствует.
Так вывод какой? что завелся какой то авторутер?
А другой способ устранения неполадки кроме перестановки винды есть?
Большое вам спасибо.
Гость
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2010-06-02 16:06:11
убить спамбота, пользователю надовать по рукам отбрать флешку на проверку наличия всянкого Г, проверить все его последние похождения.
Провести полный аудит сетки.........и компов.
Да как удав! Работаю.
Gendos
-
ttys
- *BSD
- Сообщения: 402
- Зарегистрирован: 2009-06-26 8:37:11
- Откуда: Ростов-на-Дону
-
Контактная информация:
Непрочитанное сообщение
ttys » 2010-06-03 7:39:29
Gendos писал(а):убить спамбота, пользователю надовать по рукам отбрать флешку на проверку наличия всянкого Г, проверить все его последние похождения.
Провести полный аудит сетки.........и компов.
я всё убиваю а потом востанавливаю из
ЗАРАНЕЕ сделанного образа
ато на поиски Г и т.д. времен много уходит, а по рукам давать тётенькам которым лет по 50 не помогает
ttys
-
Gendos
- лейтенант
- Сообщения: 801
- Зарегистрирован: 2009-02-18 14:30:39
- Откуда: АЗиОПА
-
Контактная информация:
Непрочитанное сообщение
Gendos » 2010-06-03 8:05:01
образ есть гуд, а вот надавать по рукам можно кому угодно хоть генералу, с корректным пояснением. Тетеньки за >50< очень боятся административных наказаний, пенсия не далеко
Да как удав! Работаю.
Gendos
-
ttys
- *BSD
- Сообщения: 402
- Зарегистрирован: 2009-06-26 8:37:11
- Откуда: Ростов-на-Дону
-
Контактная информация:
Непрочитанное сообщение
ttys » 2010-06-03 13:37:10
есть такие которые уже на пенсии
а если по теме то ставь по новой и
сделай образ!
тебе же потом проще будет
ttys
-
Гость
- проходил мимо
Непрочитанное сообщение
Гость » 2010-06-03 14:20:53
Ребята спасибо большое!
Нашел программу которая весь этот аврал создала в моей сети.
Прямо в командной строки компьютера который флудил вписал:
И нашел прогу которая конектилась со всеми на 22 порт.
А потом убил процесс путем:
Логи в /var/log/auth.log перестали появляться.
Уже надо будет винду переустанавливать.
Еще раз большое спасибо!!!!!!
Гость
