Login failure from

Vladeks · Непрочитанное сообщение **Vladeks** » 2016-07-21 10:34:11

Доброго времени суток.
Сразу извиняюсь за ламерство и свою криворукость... но без Вашей помощи разобраться вряд ли смогу.
И так: в логах /var/log/auth.log вижу следующее:

Код: Выделить всё

Jul 21 01:31:07 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:07 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:13 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:13 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:19 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:19 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:26 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:26 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:34 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:34 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:40 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:40 site login: 1 LOGIN FAILURE FROM 124.64.116.11, administrator
Jul 21 01:31:46 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:46 site login: 1 LOGIN FAILURE FROM 124.64.116.11, cisco

понимаю следующее кой-то китаец ломится сломя голову по дефолтным учеткам. Вопрос: как???? Кудой???
доступ по SSH разрешен только с локалки, root по SSH запрещен вообще.

гуглил по запросу login: 1 LOGIN FAILURE FROM ничего вообще нету...

Свою криворукость признал сразу по этому прошу камнями не бросаться.
Если у кого есть соображения по этому поводу очень буду рад если тыкните носом куда смотреть и что с этим можно сделать...

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-21 10:52:22

Ну вам же указан адрес 124.64.116.11, а так смотрите настройки файера, если доступ по ssh нужен только изнутри заблокируйте ssh порт на внешнем интерфейсе...

Vladeks · Непрочитанное сообщение **Vladeks** » 2016-07-21 11:20:47

snorlov писал(а):Ну вам же указан адрес 124.64.116.11, а так смотрите настройки файера,

в фаере записей с таким IP нету. (т.е. в логах файервола)

snorlov писал(а):если доступ по ssh нужен только изнутри заблокируйте ssh порт на внешнем интерфейсе...

об этом написал сразу..

доступ по SSH разрешен только с локалки, root по SSH запрещен вообще.

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-21 11:42:57

Vladeks писал(а):
snorlov писал(а):Ну вам же указан адрес 124.64.116.11, а так смотрите настройки файера,
в фаере записей с таким IP нету. (т.е. в логах файервола)

К вам ломяться с ip 124.64.116.11, я даже думаю, что это ip-ник провайдера

Vladeks писал(а):
snorlov писал(а):если доступ по ssh нужен только изнутри заблокируйте ssh порт на внешнем интерфейсе...
об этом написал сразу..

Ну и каким правилом вы его блокировали? Может перед ним стоит правило, которое allow
А я блокирую

Код: Выделить всё

 
    ipfw deny all from any to me 22  via <внешний интерфейс>

Vladeks писал(а):
доступ по SSH разрешен только с локалки, root по SSH запрещен вообще.

А что у вас sshd_config, там ведь есть привязка к адресу, по умолчанию sshd слущает все интерфейсы...

Vladeks · Непрочитанное сообщение **Vladeks** » 2016-07-21 12:13:08

sshd_config

Код: Выделить всё

 Port 62222
 ListenAddress 192.168.0.1
 PermitRootLogin no

ipfw.conf

Код: Выделить всё

deny tcp from any to me dst-port 62222 in via re1 setup
deny udp from any to me dst-port 62222 in via re1 setup

re1 внешка

примечательно, что попробовал неправильно залогиниться и в логе появилась следующая запись

Код: Выделить всё

Jul 21 11:47:58 site sshd[13040]: error: PAM: authentication error for bublegum from 192.168.0.12
Jul 21 11:47:58 site sshd[13040]: Postponed keyboard-interactive for bublegum from 192.168.0.12 port 46252 ssh2 [preauth]
Jul 21 11:48:07 site sshd[13040]: error: Received disconnect from 192.168.0.12: 13: Unable to authenticate [preauth]
Jul 21 11:48:25 site sshd[13083]: error: Received disconnect from 192.168.0.12: 13: Unable to authenticate [preauth]

и она совсем не похожа на те с китайцем

ЗЫ: уважаемый snorlov, спасибо Вам, что тратите время на мой вопрос.

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-21 12:15:17

А ведь это ломится не по ssh...

Vladeks · Непрочитанное сообщение **Vladeks** » 2016-07-21 12:19:38

snorlov писал(а):А ведь это ломится не по ssh...

мое состояние -

как можно залезть на сервер и чекать логин/пароль без ssh... я реально не понимаю...

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-21 12:21:13

А что у тебя там крутится помимо ssh. может апач ...

Vladeks · Непрочитанное сообщение **Vladeks** » 2016-07-21 12:25:23

apache,php,postfix,roundcube,sql,squid,dovecot

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-21 12:40:54

Vladeks писал(а):apache,php,postfix,roundcube,sql,squid,dovecot

Ну так смотри что висит на внешнем интерфейсе...

Vladeks · Непрочитанное сообщение **Vladeks** » 2016-07-21 13:10:10

ок, пока что спасибо.. буду искать дыры

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-21 13:16:37

Vladeks писал(а):ок, пока что спасибо.. буду искать дыры

Ну какие это ж дыры, и smtp/pop3/imap, должны проходить аутенфикацию...
Проще блокирнуть этот адрес через файер, человек и успокоится... Но вы правы в любом случае надо озаботится, соломку подстелить...

Vladeks · Непрочитанное сообщение **Vladeks** » 2016-07-21 14:06:10

snorlov писал(а):
Vladeks писал(а):ок, пока что спасибо.. буду искать дыры
Ну какие это ж дыры, и smtp/pop3/imap, должны проходить аутенфикацию...
Проще блокирнуть этот адрес через файер, человек и успокоится... Но вы правы в любом случае надо озаботится, соломку подстелить...

Вы совершенно правы.
А теперь скажите пожалуйста какой мудак оставляет открытый telnet на 23 порту?

Я думаю Вы поняли к чему я.....

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-21 14:09:36

Я уж про него и забыл, неужели кто-то им пользуется7

Vladeks · Непрочитанное сообщение **Vladeks** » 2016-07-21 14:18:50

snorlov писал(а):Я уж про него и забыл, неужели кто-то им пользуется7

вот и я забыл.. но Вы себе даже не представляете как я был удивлен

Вам огромное спасибо за помощь )))
На данный момент все пучком (наверное, ибо покой нам только снится)

Код: Выделить всё

Название сервиса 	Номер порта 	Статус порта
FTP (File Transfer Protocol) 	21 	Offline
SSH (Secure Shell) 	22 	Offline
Telnet 	23 	Offline
SMTP (Send Mail Transfer Protocol) 	25 	Online
whois 	43 	Offline
DNS (Domain Name Service) 	53 	Offline
DHCP (Dynamic Host Control Protocol) 	68 	Offline
HTTP (HyperText Transfer Protocol) 	80 	Online
POP3 (Post Office Protocol, version 3) 	110 	Online
SFTP (Secure File Transfer Protocol) 	115 	Offline
NNTP (Network New Transfer Protocol) 	119 	Offline
NTP (Network Time Protocol) 	123 	Offline
NetBIOS 	139 	Offline
IMAP (Internet Message Access Protocol) 	143 	Online
SNMP (Simple Network Management Protocol) 	161 	Offline
IMAP3 (Internet Message Access Protocol 3) 	220 	Offline
LDAP (Lightweight Directory Access Protocol) 	389 	Offline
SSL (Secure Socket Layer) 	443 	Offline
Oracle SQL 	1521 	Offline
NFS (Network File System) 	2049 	Offline
mySQL 	3306 	Offline
VNC 	5800 	Offline
HTTP 	8080 	Online

Наверное человек который настраивал сервачок не зря его оставил... ща поеду с ним пообщаюсь

ЗЫ: надеюсь кому-то поможет такой вот маленький нюансик