Login failure from

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Vladeks
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-07-21 10:19:11

Login failure from

Непрочитанное сообщение Vladeks » 2016-07-21 10:34:11

Доброго времени суток.
Сразу извиняюсь за ламерство и свою криворукость... но без Вашей помощи разобраться вряд ли смогу.
И так: в логах /var/log/auth.log вижу следующее:

Код: Выделить всё

Jul 21 01:31:07 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:07 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:13 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:13 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:19 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:19 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:26 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:26 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:34 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:34 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:40 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:40 site login: 1 LOGIN FAILURE FROM 124.64.116.11, administrator
Jul 21 01:31:46 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:46 site login: 1 LOGIN FAILURE FROM 124.64.116.11, cisco
понимаю следующее кой-то китаец ломится сломя голову по дефолтным учеткам. Вопрос: как???? Кудой???
доступ по SSH разрешен только с локалки, root по SSH запрещен вообще.

гуглил по запросу login: 1 LOGIN FAILURE FROM ничего вообще нету...
:(

Свою криворукость признал сразу по этому прошу камнями не бросаться.
Если у кого есть соображения по этому поводу очень буду рад если тыкните носом куда смотреть и что с этим можно сделать...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Login failure from

Непрочитанное сообщение snorlov » 2016-07-21 10:52:22

Ну вам же указан адрес 124.64.116.11, а так смотрите настройки файера, если доступ по ssh нужен только изнутри заблокируйте ssh порт на внешнем интерфейсе...

Vladeks
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-07-21 10:19:11

Login failure from

Непрочитанное сообщение Vladeks » 2016-07-21 11:20:47

snorlov писал(а):Ну вам же указан адрес 124.64.116.11, а так смотрите настройки файера,
в фаере записей с таким IP нету. (т.е. в логах файервола)
snorlov писал(а):если доступ по ssh нужен только изнутри заблокируйте ssh порт на внешнем интерфейсе...
об этом написал сразу..
доступ по SSH разрешен только с локалки, root по SSH запрещен вообще.

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Login failure from

Непрочитанное сообщение snorlov » 2016-07-21 11:42:57

Vladeks писал(а):
snorlov писал(а):Ну вам же указан адрес 124.64.116.11, а так смотрите настройки файера,
в фаере записей с таким IP нету. (т.е. в логах файервола)
К вам ломяться с ip 124.64.116.11, я даже думаю, что это ip-ник провайдера
Vladeks писал(а):
snorlov писал(а):если доступ по ssh нужен только изнутри заблокируйте ssh порт на внешнем интерфейсе...
об этом написал сразу..
Ну и каким правилом вы его блокировали? Может перед ним стоит правило, которое allow
А я блокирую

Код: Выделить всё

 
    ipfw deny all from any to me 22  via <внешний интерфейс>
Vladeks писал(а):
доступ по SSH разрешен только с локалки, root по SSH запрещен вообще.
А что у вас sshd_config, там ведь есть привязка к адресу, по умолчанию sshd слущает все интерфейсы...

Vladeks
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-07-21 10:19:11

Login failure from

Непрочитанное сообщение Vladeks » 2016-07-21 12:13:08

sshd_config

Код: Выделить всё

 Port 62222
 ListenAddress 192.168.0.1
 PermitRootLogin no
ipfw.conf

Код: Выделить всё

deny tcp from any to me dst-port 62222 in via re1 setup
deny udp from any to me dst-port 62222 in via re1 setup
re1 внешка

примечательно, что попробовал неправильно залогиниться и в логе появилась следующая запись

Код: Выделить всё

Jul 21 11:47:58 site sshd[13040]: error: PAM: authentication error for bublegum from 192.168.0.12
Jul 21 11:47:58 site sshd[13040]: Postponed keyboard-interactive for bublegum from 192.168.0.12 port 46252 ssh2 [preauth]
Jul 21 11:48:07 site sshd[13040]: error: Received disconnect from 192.168.0.12: 13: Unable to authenticate [preauth]
Jul 21 11:48:25 site sshd[13083]: error: Received disconnect from 192.168.0.12: 13: Unable to authenticate [preauth]
и она совсем не похожа на те с китайцем

ЗЫ: уважаемый snorlov, спасибо Вам, что тратите время на мой вопрос.

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Login failure from

Непрочитанное сообщение snorlov » 2016-07-21 12:15:17

А ведь это ломится не по ssh...

Vladeks
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-07-21 10:19:11

Login failure from

Непрочитанное сообщение Vladeks » 2016-07-21 12:19:38

snorlov писал(а):А ведь это ломится не по ssh...
мое состояние - :st:
как можно залезть на сервер и чекать логин/пароль без ssh... я реально не понимаю...

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Login failure from

Непрочитанное сообщение snorlov » 2016-07-21 12:21:13

А что у тебя там крутится помимо ssh. может апач ...

Vladeks
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-07-21 10:19:11

Login failure from

Непрочитанное сообщение Vladeks » 2016-07-21 12:25:23

apache,php,postfix,roundcube,sql,squid,dovecot

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Login failure from

Непрочитанное сообщение snorlov » 2016-07-21 12:40:54

Vladeks писал(а):apache,php,postfix,roundcube,sql,squid,dovecot
Ну так смотри что висит на внешнем интерфейсе...

Vladeks
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-07-21 10:19:11

Login failure from

Непрочитанное сообщение Vladeks » 2016-07-21 13:10:10

ок, пока что спасибо.. буду искать дыры

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Login failure from

Непрочитанное сообщение snorlov » 2016-07-21 13:16:37

Vladeks писал(а):ок, пока что спасибо.. буду искать дыры
Ну какие это ж дыры, и smtp/pop3/imap, должны проходить аутенфикацию...
Проще блокирнуть этот адрес через файер, человек и успокоится... Но вы правы в любом случае надо озаботится, соломку подстелить...

Vladeks
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-07-21 10:19:11

Login failure from

Непрочитанное сообщение Vladeks » 2016-07-21 14:06:10

snorlov писал(а):
Vladeks писал(а):ок, пока что спасибо.. буду искать дыры
Ну какие это ж дыры, и smtp/pop3/imap, должны проходить аутенфикацию...
Проще блокирнуть этот адрес через файер, человек и успокоится... Но вы правы в любом случае надо озаботится, соломку подстелить...
Вы совершенно правы.
А теперь скажите пожалуйста какой мудак оставляет открытый telnet на 23 порту? :evil:
Я думаю Вы поняли к чему я.....

snorlov
подполковник
Сообщения: 3846
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Login failure from

Непрочитанное сообщение snorlov » 2016-07-21 14:09:36

Я уж про него и забыл, неужели кто-то им пользуется7

Vladeks
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-07-21 10:19:11

Login failure from

Непрочитанное сообщение Vladeks » 2016-07-21 14:18:50

snorlov писал(а):Я уж про него и забыл, неужели кто-то им пользуется7
вот и я забыл.. но Вы себе даже не представляете как я был удивлен :shock: Вам огромное спасибо за помощь )))
На данный момент все пучком (наверное, ибо покой нам только снится)

Код: Выделить всё

Название сервиса 	Номер порта 	Статус порта
FTP (File Transfer Protocol) 	21 	Offline
SSH (Secure Shell) 	22 	Offline
Telnet 	23 	Offline
SMTP (Send Mail Transfer Protocol) 	25 	Online
whois 	43 	Offline
DNS (Domain Name Service) 	53 	Offline
DHCP (Dynamic Host Control Protocol) 	68 	Offline
HTTP (HyperText Transfer Protocol) 	80 	Online
POP3 (Post Office Protocol, version 3) 	110 	Online
SFTP (Secure File Transfer Protocol) 	115 	Offline
NNTP (Network New Transfer Protocol) 	119 	Offline
NTP (Network Time Protocol) 	123 	Offline
NetBIOS 	139 	Offline
IMAP (Internet Message Access Protocol) 	143 	Online
SNMP (Simple Network Management Protocol) 	161 	Offline
IMAP3 (Internet Message Access Protocol 3) 	220 	Offline
LDAP (Lightweight Directory Access Protocol) 	389 	Offline
SSL (Secure Socket Layer) 	443 	Offline
Oracle SQL 	1521 	Offline
NFS (Network File System) 	2049 	Offline
mySQL 	3306 	Offline
VNC 	5800 	Offline
HTTP 	8080 	Online

Наверное человек который настраивал сервачок не зря его оставил... ща поеду с ним пообщаюсь :)
ЗЫ: надеюсь кому-то поможет такой вот маленький нюансик :)