Подскажите или помогите сформулировать.

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
qwl
рядовой
Сообщения: 49
Зарегистрирован: 2008-12-30 14:55:24

Подскажите или помогите сформулировать.

Непрочитанное сообщение qwl » 2015-06-01 14:38:30

Всем доброго времени суток.

наверника уже есть мне нужная тема... но я ни как не могу сформулировать что искать, поподаю в направлении SSH или ддос :(

FreeBSD + ipfw
в ipfw настроин проброс порта во внутрь сети, и на этот порт пытаються подобрать пароль, на FreeBSD по этому порту логов нет, все логи на внутреней машине куда пробрасывается порт.

Подскажите или помогите сформулировать.

Заранее спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Подскажите или помогите сформулировать.

Непрочитанное сообщение Bayerische » 2015-06-01 15:14:59

помогите сформулировать
В чём состоит задача? Мониторинг брутфорса?

qwl
рядовой
Сообщения: 49
Зарегистрирован: 2008-12-30 14:55:24

Подскажите или помогите сформулировать.

Непрочитанное сообщение qwl » 2015-06-02 7:34:46

для меня видится задача в блокировке таких попыток, думаю как в "щит" для SSH.

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Подскажите или помогите сформулировать.

Непрочитанное сообщение Bayerische » 2015-06-02 7:49:49

Со стороны роутера, думаю, можно только ограничить доступ по IP.
Смотреть надо на стороне атакуемого сервиса. Тут уж зависит от применяемой ОС.
Если юниксподобные, можно настроить логи атак скриптами, и передачу их на роутер, где они будут заноситься в таблицу IPFW.
В общем, конкретика нужна.

qwl
рядовой
Сообщения: 49
Зарегистрирован: 2008-12-30 14:55:24

Подскажите или помогите сформулировать.

Непрочитанное сообщение qwl » 2015-06-02 7:59:36

попробовал собрать в кучу мысли.
получается, что пытаются подобрать логин и пароль на внутренний сервер под winser2000+удаленое управление (пробовал сменить порт, не помогает, у него характерный отклик), на который настроен проброс порта во FreeBSD.
лог внутреннего сервера показывает, что с одного IP происходит от 3х (самое малое, что увидел) до примерно 250 (самое большое, что увидел) попыток подобрать лог и пас.
попутки идут друг за другом, одновременно с 3х IP замечено.
есть ли методы во FreeBSD+ipfw для такого случая?

ограничить по своим IP нет возможности поскольку присутствуют динамические IP у пользователей.

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Подскажите или помогите сформулировать.

Непрочитанное сообщение Bayerische » 2015-06-02 8:10:17

Можно временно блокировать IP атакующего посредством IPFW.
Логи можно привести к общему знаменателю? Хотя-бы, выкладывать на расшаренный ресурс в виде plain text.

qwl
рядовой
Сообщения: 49
Зарегистрирован: 2008-12-30 14:55:24

Подскажите или помогите сформулировать.

Непрочитанное сообщение qwl » 2015-06-02 8:43:28

Логи можно привести к общему знаменателю?
сейчас пробую настроить выборку IP адресов, пока в работе...

lazhu
сержант
Сообщения: 216
Зарегистрирован: 2013-08-10 14:28:38
Контактная информация:

Подскажите или помогите сформулировать.

Непрочитанное сообщение lazhu » 2015-06-02 9:17:06

Паки и паки... Каждый раз одно и то же. Ну не открывайте наружу внутреннюю сетку, если не хотите, чтобы к вам постоянно ломились. Установить впн - дело 5 минут.

Dmitriy_3206
рядовой
Сообщения: 44
Зарегистрирован: 2014-10-13 15:51:34

Подскажите или помогите сформулировать.

Непрочитанное сообщение Dmitriy_3206 » 2015-06-02 11:34:42

Срадствами PF есть замечательное решение
В начале таблицу на основе файла (в файл по крону сбрасываю текущее содержание)
table <hammering> persist file "/usr/local/etc/pf.hammering"


Для себя я установил что в ручную я явно не подключаюсь чаще чем два раза в минуту, по идее и 10 подключений мне не надо :)

pass log on $ext_if inet proto tcp from any to $ext_if port ssh keep state \
(max-src-conn 10, max-src-conn-rate 2/60, overload <hammering> flush)

Ну и в принципе просто блокировать не интересно, они других будут DDOS ить, пусть покорячатся
block log on $ext_if inet proto tcp from <hammering> to $ext_if port ssh probability 60%

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Подскажите или помогите сформулировать.

Непрочитанное сообщение Electronik » 2015-06-02 12:26:52

Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1330
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Подскажите или помогите сформулировать.

Непрочитанное сообщение dekloper » 2015-06-02 13:35:01

Dmitriy_3206 писал(а): Ну и в принципе просто блокировать не интересно, они других будут DDOS ить, пусть покорячатся
block log on $ext_if inet proto tcp from <hammering> to $ext_if port ssh probability 60%
ога, этта праильна)
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Подскажите или помогите сформулировать.

Непрочитанное сообщение bagas » 2015-06-02 14:45:17

Я вообще ssh закрыл для всех кроме своей группы ип адресов, ип статика у всех.
Можно еще выставить количество неверных попыток (MaxAuthTries) в ssh, после которого будит рваться соединение с атакующим.
Мониторить лог /var/log/auth.log , после просто банить на уровне маршрутов (route add 89.252.36.223 127.0.0.1 -blackhole)
А при чем тут виндуз 2000 и ssh?
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.