ssh брутфорс, что делать?

[ikeu]

Добрый день, господа,

I) На VPS под управлением FreeBSD каждый день-два выгребаю примерно такое из рутовой почты:

Код: Выделить всё

Oct 18 18:02:09 v95709 sshd[71666]: Failed password for invalid user student from 114.255.129.139 port 44094 ssh2
Oct 18 18:02:13 v95709 sshd[71874]: Failed password for invalid user student from 114.255.129.139 port 44282 ssh2
Oct 18 18:02:18 v95709 sshd[72118]: Failed password for invalid user student from 114.255.129.139 port 44408 ssh2
Oct 18 18:02:22 v95709 sshd[72331]: Failed password for invalid user eric from 114.255.129.139 port 44570 ssh2
Oct 18 18:02:26 v95709 sshd[72653]: Failed password for invalid user fax from 114.255.129.139 port 44794 ssh2
Oct 18 18:02:30 v95709 sshd[72956]: Failed password for invalid user test from 114.255.129.139 port 44953 ssh2
Oct 18 18:02:34 v95709 sshd[73119]: Failed password for invalid user test from 114.255.129.139 port 45125 ssh2
Oct 18 18:02:38 v95709 sshd[73339]: Failed password for invalid user test from 114.255.129.139 port 45297 ssh2
Oct 18 18:02:42 v95709 sshd[73609]: Failed password for invalid user test from 114.255.129.139 port 45478 ssh2
Oct 18 18:02:46 v95709 sshd[73917]: Failed password for invalid user test from 114.255.129.139 port 45655 ssh2
Oct 18 18:02:50 v95709 sshd[74076]: Failed password for invalid user test from 114.255.129.139 port 45842 ssh2
Oct 18 18:02:54 v95709 sshd[74285]: Failed password for invalid user test from 114.255.129.139 port 46014 ssh2
Oct 18 18:02:58 v95709 sshd[74539]: Failed password for invalid user test from 114.255.129.139 port 46180 ssh2
Oct 18 18:03:02 v95709 sshd[74789]: Failed password for invalid user test from 114.255.129.139 port 46345 ssh2
Oct 18 18:03:06 v95709 sshd[74950]: Failed password for invalid user test from 114.255.129.139 port 46536 ssh2
Oct 18 18:03:10 v95709 sshd[75209]: Failed password for invalid user info from 114.255.129.139 port 46728 ssh2

Это маленький кусочек, обычно там несколько страниц такого вот. В связи с этим вопросы: кто все эти люди ? почему они ломятся именно сюда? что делать? Я так понимаю, что поможет закрытие портов либо ограничение кол-ва попыток залогиниться, но не знаю как это сделать.

Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kabachok]

если включен ipfw то ищи в портах bruteblock, заблокируешь ботов пытающихся подобрать пароли

сторожевой пес предназначен для того чтобы в случае падения демонов, за которыми он следит, запускать их. Можешь в настройках пса установить больший период опроса демонов.

[paradox]

это студенты
тестируют на прочность ваш сервер

[ikeu]

всем спасибо, установил brutelock , подредактировал кронтаб

[reLax]

По поводу первого вопроса, посоветовал бы использовать для авторизации SSH RSA-ключи с паролями. И никакие bruteblock' и не нужны. А главное, что надежнее.

[mediamag]

просто поменяй номер порта ссш на нестандартный и все студенты поидут лесом.

[notarius]

у себя на другой порт ssh повесил ..никто не подбирает ..

[agat]

ну ИМХО bruteblock как полумера, дополнительный демон, авторизация через одно место, после перезагрузки все правила слетают и опять все сначало... есть варианты лучше

1. поменять порт авторизации ssh с 22 на 2233 (например можно просканить открытые порты но от сообщений избавляет)
2. Изначально правильно написать ipfw

Код: Выделить всё

#ADMIN PORT 22 OPEN
    ${fwcmd} add 9 allow all from me to any dst-port 22
    ${fwcmd} add 10 allow all from XXX.XXX.XXX.0/23 to any dst-port 22
    ${fwcmd} add 11 allow all from XXX.XXX.XXX.0/23 to any dst-port 22
    ${fwcmd} add 12 allow all from 192.168.10.0/24 to any dst-port 22<---><------>#local ip
    ${fwcmd} add 13 allow all from 10.10.10.0/24 to any dst-port 22<---><------>#local vpn
    ${fwcmd} add 14 deny all from any to any dst-port 22<------><------><------>#close all

9 правило разрешает самому серваку конектится на 22 порт и в принципе как бы и не нужно...
далее описаны сети или ip с которых можно получить доступ всех остальных жезенько deny
тут прописаны все сети с которых хотели бы получить доступ,
У меня так, мессаг нет уже больше года, порт не менял

[GRooVE]

в pf решается все без сторонних костылей:

Код: Выделить всё

table <BANNED> persist
pass proto tcp from any to self ssh modulate state ( max-src-conn-rate 1/60, overload <BANNED> flush global )

если подключений к 22 порту больше 1 за 60 секунд - адрес попадает в таблицу BANNED.

[agat]

А они медленно брутят где то 1 -2 запроса в минуту, поэтому это с легкостью обходится.
могут поставить еще медленее поэтому от мессаг это не избавит, а вот запрет доступа изначально отодъет охоту брутить в итоге куллхацкер скажет ... -"а порт закрыт, ну и катись колбаской, у меня еще много серверов в запасе на которые я могу натравить брут" Точно так же он может ответить и на изменение порта.

От сюда IMHO это 2правильных решения


Все же решение интересное, можно использовать где нибудь в других целях, например в борьбе с торрентами валящими канал, только привязать чистку <BANED> через определенное время

[GRooVE]

А они медленно брутят где то 1 -2 запроса в минуту, поэтому это с легкостью обходится.

ну если медлено - то пускай брутят... жалко чтоли?) там не брутфорс, там по словарю подбор, любой пароль отличный от "12345", "guest" и подобных - не подберут ... а с проблемой топикстартера - идеальное решение!

[GRooVE]

могут поставить еще медленее поэтому от мессаг это не избавит, а вот запрет доступа изначально отодъет охоту брутить в итоге куллхацкер скажет ... -"а порт закрыт, ну и катись колбаской, у меня еще много серверов в запасе на которые я могу натравить брут" Точно так же он может ответить и на изменение порта.

на самом деле они работают немного по другому алгоритму...
и, поверьте, найдут Ваш порт, отличный от 22, только не сразу
просто усложните им задачу с помощью max-src-conn-rate и пускай долбятся
ну а запрет доступа извне не всегда практичен

[agat]

Как это не практичен,
Все места с которых я могу попасть все прописано.
с Макдонольдса или других общественных сетей мне там не чего делать...

[GRooVE]

Как это не практичен,
Все места с которых я могу попасть все прописано.
с Макдонольдса или других общественных сетей мне там не чего делать...

Я не говорю конкретно за Вас. В Вашем случае это может быть и практично, - я предлагаю один из вариантов решения проблемы и заранее предупреждаю о возможных граблях и о том, как их можно обойти, а Вы сами себе уже решайте что для Вас практично, а что нет. Ваш сервер - делайте с ним что хотите!
а непрактично это потому, что не всегда знаешь в каком месте тебе может понадобится консоль... да и не везде есть статический айпи...

[agat]

и потом где гарантия что ssh пришел от внешнего ip а не от общественного шлюза за которым скрыты локальные ресурсы к которум нужен доступ? а вы его в бан.... Пусть вам не надо а пользователям вашей сети это может понадобится.... и начинаются звонки -"А вот у меня, да сколько ж можно, за что мы танге платим ну и так далее"



ЗЫ простой нубский вопрос а столько споров,,,, Естественно все решает админ сетки

[GRooVE]

и потом где гарантия что ssh пришел от внешнего ip а не от общественного шлюза за которым скрыты локальные ресурсы к которум нужен доступ? а вы его в бан.... Пусть вам не надо а пользователям вашей сети это может понадобится....

в правиле ясно написано

Код: Выделить всё

to self

или юзеры мне будут звонить, что я их забанил за двойной коннект к 22-му порту?

[ikeu]

А хорошая тема получилось. Переименовал её и убрал второй вопрос .

[reLax]

Код: Выделить всё

Port 22
Protocol 2
ListenAddress 0.0.0.0
PermitRootLogin no
MaxAuthTries 0
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys
PasswordAuthentication no
PermitEmptyPasswords no
UsePAM no
AllowUsers xela

Вообще не понимаю в чем вопрос. Ну и пусть брутят хоть до скончания веков 2048-и битные RSA ключи...
P.S. Странно, что pf и всякие bruteblock вспомнили, а sshd_config нет.

[neurobomman]

Вот это труЪ UNIX/KISS путь проще господа, проще...

[ikeu]

Поменял "Port 22" на "Port 2222" в /etc/ssh/sshd_config

Код: Выделить всё

/etc/rc.d/sshd restart

И всё равно могу зайти по 22-му порту, в чём может быть причина?

[gx_ua]

Поменял "Port 22" на "Port 2222" в /etc/ssh/sshd_config

Код: Выделить всё

/etc/rc.d/sshd restart

И всё равно могу зайти по 22-му порту, в чём может быть причина?

Код: Выделить всё

% sockstat -4 | grep sshd

?

[ikeu]

Код: Выделить всё

root     sshd       5914  2  tcp4   194.0.xxx.106:22      95.133.xxx.2:1927
root     sshd       5914  3  tcp4   194.0.xxx.106:22      95.133.xxx.2:1927
root     sshd       5914  4  tcp4   194.0.xxx.106:22      95.133.xxx.2:1927

[mnz_home]

denyhosts ставьте от брутфорса

[arkan]

Если тут защел разговор о брутфорсах
то может подскажите есть ли в портах какойнибудь брут
а то вод вынь всякую много чего есть а вот под фряху чтото ничего и незнаю

[ProFTP]

я поменял порт ssh на другой + поставил опцию в sysctl.conf "черная дырка" и nmap просканировать не может, чтобы узнать какой порт открыт