forum.lissyara.su

Добавлено: **2010-06-01 10:20:26**

Всем привет!
В логах /var/log/auth.log валятся логи через каждые 30 секунд.

Jun  1 10:08:16 bsd sshd[11649]: Did not receive identification string from 192.168.10.12
Jun  1 10:08:46 bsd sshd[11661]: Did not receive identification string from 192.168.10.12
Jun  1 10:09:16 bsd sshd[11671]: Did not receive identification string from 192.168.10.12
Jun  1 10:09:46 bsd sshd[11685]: Did not receive identification string from 192.168.10.12
Jun  1 10:10:16 bsd sshd[11701]: Did not receive identification string from 192.168.10.12
Jun  1 10:10:46 bsd sshd[11716]: Did not receive identification string from 192.168.10.12
Jun  1 10:11:16 bsd sshd[11745]: Did not receive identification string from 192.168.10.12
Jun  1 10:11:46 bsd sshd[11761]: Did not receive identification string from 192.168.10.12
Jun  1 10:12:16 bsd sshd[11770]: Did not receive identification string from 192.168.10.12
Jun  1 10:12:46 bsd sshd[11789]: Did not receive identification string from 192.168.10.12
Jun  1 10:13:16 bsd sshd[11809]: Did not receive identification string from 192.168.10.12

Подскажите пожалуйста как можно устранить данный вид брутфорса.
Заранее спасибо.

Добавлено: **2010-06-01 10:22:30**

Код: Выделить всё

deny tcp from 192.168.10.12 to me 22 in via интерфейс

Добавлено: **2010-06-01 10:39:37**

если юзаешь pf то можно настроить силами pf или pf+sshguard
по sshguard с разными фаерами написано здесь

Добавлено: **2010-06-01 10:42:13**

смени порт с 22 сперва

Добавлено: **2010-06-01 11:07:37**

gonzo111 писал(а):смени порт с 22 сперва

То есть в /etc/ssh/ssh_config :

Код: Выделить всё

# Host *
#   ForwardAgent no
#   ForwardX11 no
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   BatchMode no
#   CheckHostIP no
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   Port 22
#   Protocol 2,1
 
...

Поменять Port 22 на Port 2022 к примеру?

Добавлено: **2010-06-01 11:16:16**

thefree писал(а):
Код: Выделить всё
deny tcp from 192.168.10.12 to me 22 in via интерфейс

Не помогло

После применение данного правило, связь по ссх у меня (с ип 192.168.10.14 )обрывается.
Правда я вписал данное правило под первом номером, так как это правило должно касаться только ип 192.168.10.12 но ни как других юзеров.
Еще еще такая вещь:

Код: Выделить всё

#sockstat -4 -p 22
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
bakar   sshd       15458 3  tcp4   192.168.10.2:22        192.168.10.14:11725
root     sshd       15452 3  tcp4   192.168.10.2:22        192.168.10.14:11725
root     sshd       1501  4  tcp4   *:22                  *:*

192.168.10.14 - мой ип
192.168.10.2 - ип фрибсд

Добавлено: **2010-06-01 13:44:24**

хм, покажи все свои правила.

впиши его перед тем где у тебя открывается 22 порт.
самым первым не стоит писать

Добавлено: **2010-06-01 15:19:39**

[16:55]|root@server.manefesto| manefesto/>cat /etc/pf.conf
mpd_if="re0"
ext_if="ng0"
int_if="wlan0"
localnet="{192.168.33.0/24,127.0.0.1}"

table <bruteforce> persist
rdr pass on $int_if proto tcp from $localnet to any port www -> 127.0.0.1 port 3128

pass in proto tcp from any to any port ssh flags S/SA keep state \
(source-track rule, max-src-conn-rate 2/10, overload <bruteforce> flush global)
block drop in quick from <bruteforce> to any
block out quick from any to <bruteforce>

Добавлено: **2010-06-01 15:36:27**

manefesto писал(а):
[16:55]|root@server.manefesto| manefesto/>cat /etc/pf.conf
mpd_if="re0"
ext_if="ng0"
int_if="wlan0"
localnet="{192.168.33.0/24,127.0.0.1}"

table <bruteforce> persist
rdr pass on $int_if proto tcp from $localnet to any port www -> 127.0.0.1 port 3128

pass in proto tcp from any to any port ssh flags S/SA keep state \
(source-track rule, max-src-conn-rate 2/10, overload <bruteforce> flush global)
block drop in quick from <bruteforce> to any
block out quick from any to <bruteforce>

Спасибо, но у меня ipfw

Добавлено: **2010-06-01 15:40:40**

Гость писал(а): Спасибо, но у меня ipfw

/usr/ports/security/sshguard-ipfw/

Код: Выделить всё

Blocking addresses with IPFW

In this scenario, the host running sshguard runs IPFW, that has to be configured for accepting blocking rules from sshguard.
Adjusting passing rule priority

With IPFW, sshguard adds blocking rules with IDs from 55000 to 55050 by default. If a pass rule appears before these, it is applied because IPFW runs a first-match-win policy.

If you have an allow policy higher than 55050 in your IPFW chain, move it to a lower priority. E.g.:

ipfw list
#    1240 allow ip from any to me 22
ipfw del 1240
ipfw add 56000 allow ip from any to me 22

This command will display the set of addresses blocked by sshguard at any time:

ipfw list | awk '{ if($1 >= 55000 && $1 <= 55050) print $5 }'

IPv6 support

If you want IPv6 support, check ip6fw (instead of ipfw) to make the same adjustments. Sshguard will automatically interface to this chain when IPv6 addresses need to be blocked.

www.sshguard.net/docs/setup/firewall/ipfw/

ЗЫ если объём большой pf лучше справляется

Добавлено: **2010-06-01 21:27:56**

хм..... дай вывод такой команды

Код: Выделить всё

nmap 192.168.10.12

Добавлено: **2010-06-02 10:07:03**

Gendos писал(а):хм..... дай вывод такой команды
Код: Выделить всё
nmap 192.168.10.12

Код: Выделить всё

#nmap 192.168.10.12
Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-02 09:58 EEST
Interesting ports on 12.10.168.192.in-addr.arpa (192.168.10.12):
Not shown: 986 closed ports
PORT      STATE SERVICE
25/tcp    open  smtp
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
1043/tcp  open  boinc
1045/tcp  open  unknown
1110/tcp  open  nfsd-status
1801/tcp  open  unknown
2103/tcp  open  zephyr-clt
2105/tcp  open  eklogin
2107/tcp  open  unknown
3389/tcp  open  ms-term-serv
6129/tcp  open  unknown
19780/tcp open  unknown
MAC Address: 00:30:05:B9:AD:0E (Fujitsu Siemens Computers)

Nmap done: 1 IP address (1 host up) scanned in 296.72 seconds

Добавлено: **2010-06-02 11:25:07**

Что за зверь такой, занимающийся распределенными вычислениями на M$. Это пользовательская машина или сервер?

------------------------------------размышления------------------------------------------
Похоже, что сервер..
Вроде видимых портов на которой пасутся твари невидно....
Может все же яка тварь завелась.....
Неплохо бы её netstat посмотреть...
---------------------------------------------------------------------------------------------------

Добавлено: **2010-06-02 11:37:21**

Напишите в ipfw правило, которое будет разрешать конектиться к 22 порту только с Вашего ip

Код: Выделить всё

 allow tcp from ваш_ip to me 22 setup

в sshd_config добавьте строку(на всякий

)

Код: Выделить всё

AllowUsers имя

Добавлено: **2010-06-02 12:11:07**

Гость писал(а):

Gendos писал(а):хм..... дай вывод такой команды
Код: Выделить всё
nmap 192.168.10.12

Код: Выделить всё

#nmap 192.168.10.12
Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-02 09:58 EEST
Interesting ports on 12.10.168.192.in-addr.arpa (192.168.10.12):
Not shown: 986 closed ports
PORT      STATE SERVICE
25/tcp    open  smtp
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
1043/tcp  open  boinc
1045/tcp  open  unknown
1110/tcp  open  nfsd-status
1801/tcp  open  unknown
2103/tcp  open  zephyr-clt
2105/tcp  open  eklogin
2107/tcp  open  unknown
3389/tcp  open  ms-term-serv
6129/tcp  open  unknown
19780/tcp open  unknown
MAC Address: 00:30:05:B9:AD:0E (Fujitsu Siemens Computers)

Nmap done: 1 IP address (1 host up) scanned in 296.72 seconds

походу чей-то ноут

Добавлено: **2010-06-02 12:19:07**

Mox писал(а):

Гость писал(а):

Gendos писал(а):хм..... дай вывод такой команды
Код: Выделить всё
nmap 192.168.10.12

Код: Выделить всё

#nmap 192.168.10.12
Starting Nmap 5.00 ( http://nmap.org ) at 2010-06-02 09:58 EEST
Interesting ports on 12.10.168.192.in-addr.arpa (192.168.10.12):
Not shown: 986 closed ports
PORT      STATE SERVICE
25/tcp    open  smtp
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
1043/tcp  open  boinc
1045/tcp  open  unknown
1110/tcp  open  nfsd-status
1801/tcp  open  unknown
2103/tcp  open  zephyr-clt
2105/tcp  open  eklogin
2107/tcp  open  unknown
3389/tcp  open  ms-term-serv
6129/tcp  open  unknown
19780/tcp open  unknown
MAC Address: 00:30:05:B9:AD:0E (Fujitsu Siemens Computers)

Nmap done: 1 IP address (1 host up) scanned in 296.72 seconds

походу чей-то ноут

Вполне возможно...

Добавлено: **2010-06-02 14:09:15**

Пардон ребята за неуточнение.

Машина которая ломиться на мой компьютер это рабочая станция на Windows XP? обычный компьютер.
Команда netstat с компьютера гада выдает огромный вывод, из него я выбрал только то что касается моего сервера:

Код: Выделить всё

  TCP    ORIGIN:4718            192.168.10.12:pop3       TIME_WAIT
  TCP    ORIGIN:4822            192.168.10.12:smtp       TIME_WAIT

И вот такой интересный вывод с данного компьютера по отношение других станции моей сети:

Код: Выделить всё

  TCP    ORIGIN:4794            desktop.mc.macro.com:ftp  TIME_WAIT
  TCP    ORIGIN:4801            adde90a.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4805            pc.mc.macro.com:22  TIME_WAIT
  TCP    ORIGIN:4806            compiz.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4807            sp4a.mc.macro.com:smtp  TIME_WAIT
  TCP    ORIGIN:4815            192.168.10.102:22       TIME_WAIT
  TCP    ORIGIN:4818            ORIGIN.mc.macro.com:smtp  TIME_WAIT
  TCP    ORIGIN:4822            192.168.10.6:smtp       TIME_WAIT
  TCP    ORIGIN:4834            prizma.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4839            192.168.10.103:ftp      TIME_WAIT
  TCP    ORIGIN:4857            sti-hi.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4858            djg4sh4j.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4869            waor.mc.macro.com:ftp  TIME_WAIT
  TCP    ORIGIN:4871            sti-a39e2.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4878            origin.mc.macro.com:2210  SYN_SENT
  TCP    ORIGIN:4879            microsof-41a8.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4883            sol-pc.mc.macro.com:http  TIME_WAIT
  TCP    ORIGIN:4894            waor.mc.macro.com:nntp  TIME_WAIT
  TCP    ORIGIN:4896            192.168.10.70:22        TIME_WAIT
  TCP    ORIGIN:4900            microsof-41b3a8.mc.macro.com:ftp  TIME_WAIT
  TCP    ORIGIN:4902            192.168.10.71:smtp      TIME_WAIT
  TCP    ORIGIN:4911            ps1.mc.macro.com:smtp  TIME_WAIT
  TCP    ORIGIN:4913            desktop.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4916            blind.mc.macro.com:ftp  TIME_WAIT
  TCP    ORIGIN:4917            192.168.10.150:22       TIME_WAIT
  TCP    ORIGIN:4918            192.168.10.4:22         TIME_WAIT
  TCP    ORIGIN:4921            waor.mc.macro.com:smtp  TIME_WAIT
  TCP    ORIGIN:4926            192.168.11.58:2210      TIME_WAIT

Создает гад соединение на 22-ом и 2210-ом порту.
Что предпринять дальше?
Спасибо.

Добавлено: **2010-06-02 14:32:21**

Гость писал(а):Пардон ребята за неуточнение.

Машина которая ломиться на мой компьютер это рабочая станция на Windows XP? обычный компьютер.
Команда netstat с компьютера гада выдает огромный вывод, из него я выбрал только то что касается моего сервера:

Код: Выделить всё

  TCP    ORIGIN:4718            192.168.10.12:pop3       TIME_WAIT
  TCP    ORIGIN:4822            192.168.10.12:smtp       TIME_WAIT

И вот такой интересный вывод с данного компьютера по отношение других станции моей сети:

Код: Выделить всё

  TCP    ORIGIN:4794            desktop.mc.macro.com:ftp  TIME_WAIT
  TCP    ORIGIN:4801            adde90a.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4805            pc.mc.macro.com:22  TIME_WAIT
  TCP    ORIGIN:4806            compiz.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4807            sp4a.mc.macro.com:smtp  TIME_WAIT
  TCP    ORIGIN:4815            192.168.10.102:22       TIME_WAIT
  TCP    ORIGIN:4818            ORIGIN.mc.macro.com:smtp  TIME_WAIT
  TCP    ORIGIN:4822            192.168.10.6:smtp       TIME_WAIT
  TCP    ORIGIN:4834            prizma.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4839            192.168.10.103:ftp      TIME_WAIT
  TCP    ORIGIN:4857            sti-hi.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4858            djg4sh4j.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4869            waor.mc.macro.com:ftp  TIME_WAIT
  TCP    ORIGIN:4871            sti-a39e2.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4878            origin.mc.macro.com:2210  SYN_SENT
  TCP    ORIGIN:4879            microsof-41a8.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4883            sol-pc.mc.macro.com:http  TIME_WAIT
  TCP    ORIGIN:4894            waor.mc.macro.com:nntp  TIME_WAIT
  TCP    ORIGIN:4896            192.168.10.70:22        TIME_WAIT
  TCP    ORIGIN:4900            microsof-41b3a8.mc.macro.com:ftp  TIME_WAIT
  TCP    ORIGIN:4902            192.168.10.71:smtp      TIME_WAIT
  TCP    ORIGIN:4911            ps1.mc.macro.com:smtp  TIME_WAIT
  TCP    ORIGIN:4913            desktop.mc.macro.com:2210  TIME_WAIT
  TCP    ORIGIN:4916            blind.mc.macro.com:ftp  TIME_WAIT
  TCP    ORIGIN:4917            192.168.10.150:22       TIME_WAIT
  TCP    ORIGIN:4918            192.168.10.4:22         TIME_WAIT
  TCP    ORIGIN:4921            waor.mc.macro.com:smtp  TIME_WAIT
  TCP    ORIGIN:4926            192.168.11.58:2210      TIME_WAIT

Создает гад соединение на 22-ом и 2210-ом порту.
Что предпринять дальше?
Спасибо.

kill все разделы и поставь виндавоз по новой

не заметил сразу там ещё и smtp присутствует.

Добавлено: **2010-06-02 15:22:24**

ttys писал(а):kill все разделы и поставь виндавоз по новой
не заметил сразу там ещё и smtp присутствует.

Так вывод какой? что завелся какой то авторутер?
А другой способ устранения неполадки кроме перестановки винды есть?
Большое вам спасибо.

Добавлено: **2010-06-02 16:06:11**

убить спамбота, пользователю надовать по рукам отбрать флешку на проверку наличия всянкого Г, проверить все его последние похождения.
Провести полный аудит сетки.........и компов.

Добавлено: **2010-06-03 7:39:29**

Gendos писал(а):убить спамбота, пользователю надовать по рукам отбрать флешку на проверку наличия всянкого Г, проверить все его последние похождения.
Провести полный аудит сетки.........и компов.

я всё убиваю а потом востанавливаю из ЗАРАНЕЕ сделанного образа

ато на поиски Г и т.д. времен много уходит, а по рукам давать тётенькам которым лет по 50 не помогает

Добавлено: **2010-06-03 8:05:01**

образ есть гуд, а вот надавать по рукам можно кому угодно хоть генералу, с корректным пояснением. Тетеньки за >50< очень боятся административных наказаний, пенсия не далеко

Добавлено: **2010-06-03 13:37:10**

есть такие которые уже на пенсии

а если по теме то ставь по новой и сделай образ!
тебе же потом проще будет

Добавлено: **2010-06-03 14:20:53**

Ребята спасибо большое!
Нашел программу которая весь этот аврал создала в моей сети.
Прямо в командной строки компьютера который флудил вписал:

Код: Выделить всё

netstat -b

И нашел прогу которая конектилась со всеми на 22 порт.
А потом убил процесс путем:

Код: Выделить всё

taskkill /PID 2258

Логи в /var/log/auth.log перестали появляться.

Уже надо будет винду переустанавливать.
Еще раз большое спасибо!!!!!!

forum.lissyara.su

Намек на брутфорс

Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс

Re: Намек на брутфорс