sshit глючит

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Pauk
рядовой
Сообщения: 21
Зарегистрирован: 2007-10-30 6:45:28

sshit глючит

Непрочитанное сообщение Pauk » 2007-10-31 10:07:07

sshit-0.6_2
Конфиг:
FIREWALL_TYPE = ipfw
Когда начинается очередная атака по ssh, то происходит следующее:
1. в логи пишется, что установлена блокировка на ip атакующего
2. дальше в логи массово сыпятся
Oct 31 09:59:42 localhost sshit: block for 68.90.148.99 not working!
Oct 31 09:59:44 localhost sshit: block for 68.90.148.99 not working!
Oct 31 09:59:47 localhost sshit: block for 68.90.148.99 not working!
Oct 31 09:59:49 localhost sshit: block for 68.90.148.99 not working!
Oct 31 09:59:52 localhost sshit: block for 68.90.148.99 not working!
Oct 31 09:59:54 localhost sshit: block for 68.90.148.99 not working!
Oct 31 09:59:57 localhost sshit: block for 68.90.148.99 not working!
Oct 31 09:59:59 localhost sshit: block for 68.90.148.99 not working!
3. Если глянуть ipfw list, то правил там новых мы не увидим. Если ipfw show, то правило видно, блокировка идет.
Странно как-то.
Вот и хотел бы спросить вас, в чем может быть проблема?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35150
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshit глючит

Непрочитанное сообщение Alex Keda » 2007-10-31 10:14:16

давай и лист и шов показывай
Убей их всех! Бог потом рассортирует...

kmb
лейтенант
Сообщения: 680
Зарегистрирован: 2007-02-20 8:30:03
Контактная информация:

Re: sshit глючит

Непрочитанное сообщение kmb » 2007-10-31 10:16:53

Странно, вроде ipfw list показывает список правил, а ipfw show покажет трафик и количество пакетов, обработанных каждым из правил, по идее они должны показывать одни и те же... Хорошо бы еще посмотреть конф sshit'a и конф фаера...
На форуме тема вроде была уже про sshit
truth is out there...

Pauk
рядовой
Сообщения: 21
Зарегистрирован: 2007-10-30 6:45:28

Re: sshit глючит

Непрочитанное сообщение Pauk » 2007-11-02 10:11:21

[root@localhost:pauk]#ipfw list
00100 check-state
00200 allow ip from any to any via lo0
00300 deny ip from any to 127.0.0.0/8
00400 deny ip from 127.0.0.0/8 to any
00500 deny icmp from any to any frag
00600 allow tcp from any to any established
00700 allow ip from 172.16.0.2 to any out xmit fxp0
00800 allow udp from any 53 to any via fxp0
00900 allow tcp from any to 172.16.0.2 dst-port 21 via fxp0
01000 allow tcp from any to 172.16.0.2 dst-port 49152-65535 via fxp0
01100 allow icmp from any to any icmptypes 0,8,11
01200 allow tcp from any to 172.16.0.2 dst-port 22 via fxp0
01300 allow tcp from any to 172.16.0.2 dst-port 10000 via fxp0
01400 deny log logamount 5 ip from any to any
65535 allow ip from any to any
[root@localhost:pauk]#
[root@localhost:pauk]#ipfw show
00100 0 0 check-state
00200 18 960 allow ip from any to any via lo0
00300 0 0 deny ip from any to 127.0.0.0/8
00400 0 0 deny ip from 127.0.0.0/8 to any
00500 0 0 deny icmp from any to any frag
00600 1935 276071 allow tcp from any to any established
00700 27 1690 allow ip from 172.16.0.2 to any out xmit fxp0
00800 18 2384 allow udp from any 53 to any via fxp0
00900 1 48 allow tcp from any to 172.16.0.2 dst-port 21 via fxp0
01000 1 48 allow tcp from any to 172.16.0.2 dst-port 49152-65535 via fxp0
01100 0 0 allow icmp from any to any icmptypes 0,8,11
01101 2 96 deny log logamount 5 tcp from 192.168.0.35 to me dst-port 22
01200 6 288 allow tcp from any to 172.16.0.2 dst-port 22 via fxp0
01300 0 0 allow tcp from any to 172.16.0.2 dst-port 10000 via fxp0
01400 3919 349765 deny log logamount 5 ip from any to any
65535 0 0 allow ip from any to any
[root@localhost:pauk]#
Конфиг стандартный. Изменил только pf на ipfw. Скрипт изменил только чтобы 21 порт в блокировку не ставился.