Страница 1 из 2
ssh брутфорс, что делать?
Добавлено: 2009-11-03 23:42:03
ikeu
Добрый день, господа,
I) На VPS под управлением FreeBSD каждый день-два выгребаю примерно такое из рутовой почты:
Код: Выделить всё
Oct 18 18:02:09 v95709 sshd[71666]: Failed password for invalid user student from 114.255.129.139 port 44094 ssh2
Oct 18 18:02:13 v95709 sshd[71874]: Failed password for invalid user student from 114.255.129.139 port 44282 ssh2
Oct 18 18:02:18 v95709 sshd[72118]: Failed password for invalid user student from 114.255.129.139 port 44408 ssh2
Oct 18 18:02:22 v95709 sshd[72331]: Failed password for invalid user eric from 114.255.129.139 port 44570 ssh2
Oct 18 18:02:26 v95709 sshd[72653]: Failed password for invalid user fax from 114.255.129.139 port 44794 ssh2
Oct 18 18:02:30 v95709 sshd[72956]: Failed password for invalid user test from 114.255.129.139 port 44953 ssh2
Oct 18 18:02:34 v95709 sshd[73119]: Failed password for invalid user test from 114.255.129.139 port 45125 ssh2
Oct 18 18:02:38 v95709 sshd[73339]: Failed password for invalid user test from 114.255.129.139 port 45297 ssh2
Oct 18 18:02:42 v95709 sshd[73609]: Failed password for invalid user test from 114.255.129.139 port 45478 ssh2
Oct 18 18:02:46 v95709 sshd[73917]: Failed password for invalid user test from 114.255.129.139 port 45655 ssh2
Oct 18 18:02:50 v95709 sshd[74076]: Failed password for invalid user test from 114.255.129.139 port 45842 ssh2
Oct 18 18:02:54 v95709 sshd[74285]: Failed password for invalid user test from 114.255.129.139 port 46014 ssh2
Oct 18 18:02:58 v95709 sshd[74539]: Failed password for invalid user test from 114.255.129.139 port 46180 ssh2
Oct 18 18:03:02 v95709 sshd[74789]: Failed password for invalid user test from 114.255.129.139 port 46345 ssh2
Oct 18 18:03:06 v95709 sshd[74950]: Failed password for invalid user test from 114.255.129.139 port 46536 ssh2
Oct 18 18:03:10 v95709 sshd[75209]: Failed password for invalid user info from 114.255.129.139 port 46728 ssh2
Это маленький кусочек, обычно там несколько страниц такого вот. В связи с этим вопросы: кто все эти люди
? почему они ломятся именно сюда? что делать? Я так понимаю, что поможет закрытие портов либо ограничение кол-ва попыток залогиниться, но не знаю как это сделать.
Спасибо.
Re: 2 нубских вопроса..
Добавлено: 2009-11-04 0:33:52
kabachok
если включен ipfw то ищи в портах bruteblock, заблокируешь ботов пытающихся подобрать пароли
сторожевой пес предназначен для того чтобы в случае падения демонов, за которыми он следит, запускать их. Можешь в настройках пса установить больший период опроса демонов.
Re: 2 нубских вопроса..
Добавлено: 2009-11-04 0:36:31
paradox
это студенты
тестируют на прочность ваш сервер
Re: 2 нубских вопроса..
Добавлено: 2009-11-04 1:13:19
ikeu
всем спасибо, установил brutelock
, подредактировал кронтаб
Re: 2 нубских вопроса..
Добавлено: 2009-11-04 6:35:24
reLax
По поводу первого вопроса, посоветовал бы использовать для авторизации SSH RSA-ключи с паролями. И никакие bruteblock' и не нужны. А главное, что надежнее.
Re: 2 нубских вопроса..
Добавлено: 2009-11-04 10:49:48
mediamag
просто поменяй номер порта ссш на нестандартный и все студенты поидут лесом.
Re: 2 нубских вопроса..
Добавлено: 2009-11-04 19:02:39
notarius
у себя на другой порт ssh повесил ..никто не подбирает ..
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 0:14:57
agat
ну ИМХО bruteblock как полумера, дополнительный демон, авторизация через одно место, после перезагрузки все правила слетают и опять все сначало... есть варианты лучше
1. поменять порт авторизации ssh с 22 на 2233 (например можно просканить открытые порты но от сообщений избавляет)
2. Изначально правильно написать ipfw
Код: Выделить всё
#ADMIN PORT 22 OPEN
${fwcmd} add 9 allow all from me to any dst-port 22
${fwcmd} add 10 allow all from XXX.XXX.XXX.0/23 to any dst-port 22
${fwcmd} add 11 allow all from XXX.XXX.XXX.0/23 to any dst-port 22
${fwcmd} add 12 allow all from 192.168.10.0/24 to any dst-port 22<---><------>#local ip
${fwcmd} add 13 allow all from 10.10.10.0/24 to any dst-port 22<---><------>#local vpn
${fwcmd} add 14 deny all from any to any dst-port 22<------><------><------>#close all
9 правило разрешает самому серваку конектится на 22 порт и в принципе как бы и не нужно...
далее описаны сети или ip с которых можно получить доступ всех остальных жезенько deny
тут прописаны все сети с которых хотели бы получить доступ,
У меня так, мессаг нет уже больше года, порт не менял
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 0:23:37
GRooVE
в pf решается все без сторонних костылей:
Код: Выделить всё
table <BANNED> persist
pass proto tcp from any to self ssh modulate state ( max-src-conn-rate 1/60, overload <BANNED> flush global )
если подключений к 22 порту больше 1 за 60 секунд - адрес попадает в таблицу BANNED.
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 0:28:41
agat
А они медленно брутят где то 1 -2 запроса в минуту, поэтому это с легкостью обходится.
могут поставить еще медленее поэтому от мессаг это не избавит, а вот запрет доступа изначально отодъет охоту брутить в итоге куллхацкер скажет ... -"а порт закрыт, ну и катись колбаской, у меня еще много серверов в запасе на которые я могу натравить брут" Точно так же он может ответить и на изменение порта.
От сюда IMHO это 2правильных решения
Все же решение интересное, можно использовать где нибудь в других целях, например в борьбе с торрентами валящими канал, только привязать чистку <BANED> через определенное время
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 0:36:26
GRooVE
agat писал(а):А они медленно брутят где то 1 -2 запроса в минуту, поэтому это с легкостью обходится.
ну если медлено - то пускай брутят... жалко чтоли?) там не брутфорс, там по словарю подбор, любой пароль отличный от "12345", "guest" и подобных - не подберут ... а с проблемой топикстартера - идеальное решение!
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 0:40:14
GRooVE
agat писал(а):могут поставить еще медленее поэтому от мессаг это не избавит, а вот запрет доступа изначально отодъет охоту брутить в итоге куллхацкер скажет ... -"а порт закрыт, ну и катись колбаской, у меня еще много серверов в запасе на которые я могу натравить брут" Точно так же он может ответить и на изменение порта.
на самом деле они работают немного по другому алгоритму...
и, поверьте, найдут Ваш порт, отличный от 22, только не сразу
просто усложните им задачу с помощью max-src-conn-rate и пускай долбятся
ну а запрет доступа извне не всегда практичен
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 0:53:09
agat
Как это не практичен,
Все места с которых я могу попасть все прописано.
с Макдонольдса или других общественных сетей мне там не чего делать...
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 1:01:47
GRooVE
agat писал(а):Как это не практичен,
Все места с которых я могу попасть все прописано.
с Макдонольдса или других общественных сетей мне там не чего делать...
Я не говорю конкретно за Вас. В Вашем случае это может быть и практично, - я предлагаю один из вариантов решения проблемы и заранее предупреждаю о возможных граблях и о том, как их можно обойти, а Вы сами себе уже решайте что для Вас практично, а что нет. Ваш сервер - делайте с ним что хотите!
а непрактично это потому, что не всегда знаешь в каком месте тебе может понадобится консоль... да и не везде есть статический айпи...
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 1:04:04
agat
и потом где гарантия что ssh пришел от внешнего ip а не от общественного шлюза за которым скрыты локальные ресурсы к которум нужен доступ? а вы его в бан.... Пусть вам не надо а пользователям вашей сети это может понадобится.... и начинаются звонки -"А вот у меня, да сколько ж можно, за что мы танге платим ну и так далее"
ЗЫ простой нубский вопрос а столько споров,,,, Естественно все решает админ сетки
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 1:08:04
GRooVE
agat писал(а):и потом где гарантия что ssh пришел от внешнего ip а не от общественного шлюза за которым скрыты локальные ресурсы к которум нужен доступ? а вы его в бан.... Пусть вам не надо а пользователям вашей сети это может понадобится....
в правиле ясно написано
или юзеры мне будут звонить, что я их забанил за двойной коннект к 22-му порту?
Re: 2 нубских вопроса..
Добавлено: 2009-11-05 13:25:46
ikeu
А хорошая тема получилось. Переименовал её и убрал второй вопрос
.
Re: ssh брутфорс, что делать?
Добавлено: 2009-11-05 19:50:47
reLax
Код: Выделить всё
Port 22
Protocol 2
ListenAddress 0.0.0.0
PermitRootLogin no
MaxAuthTries 0
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
PermitEmptyPasswords no
UsePAM no
AllowUsers xela
Вообще не понимаю в чем вопрос. Ну и пусть брутят хоть до скончания веков 2048-и битные RSA ключи...
P.S. Странно, что pf и всякие bruteblock вспомнили, а sshd_config нет.
Re: ssh брутфорс, что делать?
Добавлено: 2009-11-05 20:22:36
neurobomman
Вот это труЪ UNIX/KISS путь
проще господа, проще...
Re: ssh брутфорс, что делать?
Добавлено: 2009-11-05 21:13:49
ikeu
Поменял "Port 22" на "Port 2222" в /etc/ssh/sshd_config
И всё равно могу зайти по 22-му порту, в чём может быть причина?
Re: ssh брутфорс, что делать?
Добавлено: 2009-11-05 21:34:02
gx_ua
ikeu писал(а):Поменял "Port 22" на "Port 2222" в /etc/ssh/sshd_config
И всё равно могу зайти по 22-му порту, в чём может быть причина?
?
Re: ssh брутфорс, что делать?
Добавлено: 2009-11-05 21:39:43
ikeu
Код: Выделить всё
root sshd 5914 2 tcp4 194.0.xxx.106:22 95.133.xxx.2:1927
root sshd 5914 3 tcp4 194.0.xxx.106:22 95.133.xxx.2:1927
root sshd 5914 4 tcp4 194.0.xxx.106:22 95.133.xxx.2:1927
Re: ssh брутфорс, что делать?
Добавлено: 2009-11-05 22:30:04
mnz_home
denyhosts ставьте от брутфорса
Re: ssh брутфорс, что делать?
Добавлено: 2009-11-06 6:30:31
arkan
Если тут защел разговор о брутфорсах
то может подскажите есть ли в портах какойнибудь брут
а то вод вынь всякую много чего есть а вот под фряху чтото ничего и незнаю
Re: ssh брутфорс, что делать?
Добавлено: 2009-11-06 6:33:41
ProFTP
я поменял порт ssh на другой + поставил опцию в sysctl.conf "черная дырка" и nmap просканировать не может, чтобы узнать какой порт открыт