Страница 1 из 1
Login failure from
Добавлено: 2016-07-21 10:34:11
Vladeks
Доброго времени суток.
Сразу извиняюсь за ламерство и свою криворукость... но без Вашей помощи разобраться вряд ли смогу.
И так: в логах /var/log/auth.log вижу следующее:
Код: Выделить всё
Jul 21 01:31:07 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:07 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:13 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:13 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:19 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:19 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:26 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:26 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:34 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:34 site login: 1 LOGIN FAILURE FROM 124.64.116.11, root
Jul 21 01:31:40 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:40 site login: 1 LOGIN FAILURE FROM 124.64.116.11, administrator
Jul 21 01:31:46 site login: 1 LOGIN FAILURE FROM 124.64.116.11
Jul 21 01:31:46 site login: 1 LOGIN FAILURE FROM 124.64.116.11, cisco
понимаю следующее кой-то китаец ломится сломя голову по дефолтным учеткам. Вопрос: как???? Кудой???
доступ по SSH разрешен только с локалки, root по SSH запрещен вообще.
гуглил по запросу login: 1 LOGIN FAILURE FROM ничего вообще нету...
Свою криворукость признал сразу по этому прошу камнями не бросаться.
Если у кого есть соображения по этому поводу очень буду рад если тыкните носом куда смотреть и что с этим можно сделать...
Login failure from
Добавлено: 2016-07-21 10:52:22
snorlov
Ну вам же указан адрес 124.64.116.11, а так смотрите настройки файера, если доступ по ssh нужен только изнутри заблокируйте ssh порт на внешнем интерфейсе...
Login failure from
Добавлено: 2016-07-21 11:20:47
Vladeks
snorlov писал(а):Ну вам же указан адрес 124.64.116.11, а так смотрите настройки файера,
в фаере записей с таким IP нету. (т.е. в логах файервола)
snorlov писал(а):если доступ по ssh нужен только изнутри заблокируйте ssh порт на внешнем интерфейсе...
об этом написал сразу..
доступ по SSH разрешен только с локалки, root по SSH запрещен вообще.
Login failure from
Добавлено: 2016-07-21 11:42:57
snorlov
Vladeks писал(а):snorlov писал(а):Ну вам же указан адрес 124.64.116.11, а так смотрите настройки файера,
в фаере записей с таким IP нету. (т.е. в логах файервола)
К вам ломяться с ip 124.64.116.11, я даже думаю, что это ip-ник провайдера
Vladeks писал(а):
snorlov писал(а):если доступ по ssh нужен только изнутри заблокируйте ssh порт на внешнем интерфейсе...
об этом написал сразу..
Ну и каким правилом вы его блокировали? Может перед ним стоит правило, которое allow
А я блокирую
Код: Выделить всё
ipfw deny all from any to me 22 via <внешний интерфейс>
Vladeks писал(а):
доступ по SSH разрешен только с локалки, root по SSH запрещен вообще.
А что у вас sshd_config, там ведь есть привязка к адресу, по умолчанию sshd слущает все интерфейсы...
Login failure from
Добавлено: 2016-07-21 12:13:08
Vladeks
sshd_config
Код: Выделить всё
Port 62222
ListenAddress 192.168.0.1
PermitRootLogin no
ipfw.conf
Код: Выделить всё
deny tcp from any to me dst-port 62222 in via re1 setup
deny udp from any to me dst-port 62222 in via re1 setup
re1 внешка
примечательно, что попробовал неправильно залогиниться и в логе появилась следующая запись
Код: Выделить всё
Jul 21 11:47:58 site sshd[13040]: error: PAM: authentication error for bublegum from 192.168.0.12
Jul 21 11:47:58 site sshd[13040]: Postponed keyboard-interactive for bublegum from 192.168.0.12 port 46252 ssh2 [preauth]
Jul 21 11:48:07 site sshd[13040]: error: Received disconnect from 192.168.0.12: 13: Unable to authenticate [preauth]
Jul 21 11:48:25 site sshd[13083]: error: Received disconnect from 192.168.0.12: 13: Unable to authenticate [preauth]
и она совсем не похожа на те с китайцем
ЗЫ: уважаемый snorlov, спасибо Вам, что тратите время на мой вопрос.
Login failure from
Добавлено: 2016-07-21 12:15:17
snorlov
А ведь это ломится не по ssh...
Login failure from
Добавлено: 2016-07-21 12:19:38
Vladeks
snorlov писал(а):А ведь это ломится не по ssh...
мое состояние -
как можно залезть на сервер и чекать логин/пароль без ssh... я реально не понимаю...
Login failure from
Добавлено: 2016-07-21 12:21:13
snorlov
А что у тебя там крутится помимо ssh. может апач ...
Login failure from
Добавлено: 2016-07-21 12:25:23
Vladeks
apache,php,postfix,roundcube,sql,squid,dovecot
Login failure from
Добавлено: 2016-07-21 12:40:54
snorlov
Vladeks писал(а):apache,php,postfix,roundcube,sql,squid,dovecot
Ну так смотри что висит на внешнем интерфейсе...
Login failure from
Добавлено: 2016-07-21 13:10:10
Vladeks
ок, пока что спасибо.. буду искать дыры
Login failure from
Добавлено: 2016-07-21 13:16:37
snorlov
Vladeks писал(а):ок, пока что спасибо.. буду искать дыры
Ну какие это ж дыры, и smtp/pop3/imap, должны проходить аутенфикацию...
Проще блокирнуть этот адрес через файер, человек и успокоится... Но вы правы в любом случае надо озаботится, соломку подстелить...
Login failure from
Добавлено: 2016-07-21 14:06:10
Vladeks
snorlov писал(а):Vladeks писал(а):ок, пока что спасибо.. буду искать дыры
Ну какие это ж дыры, и smtp/pop3/imap, должны проходить аутенфикацию...
Проще блокирнуть этот адрес через файер, человек и успокоится... Но вы правы в любом случае надо озаботится, соломку подстелить...
Вы совершенно правы.
А теперь скажите пожалуйста какой мудак оставляет открытый telnet на 23 порту?
Я думаю Вы поняли к чему я.....
Login failure from
Добавлено: 2016-07-21 14:09:36
snorlov
Я уж про него и забыл, неужели кто-то им пользуется7
Login failure from
Добавлено: 2016-07-21 14:18:50
Vladeks
snorlov писал(а):Я уж про него и забыл, неужели кто-то им пользуется7
вот и я забыл.. но Вы себе даже не представляете как я был удивлен
Вам огромное спасибо за помощь )))
На данный момент все пучком (наверное, ибо покой нам только снится)
Код: Выделить всё
Название сервиса Номер порта Статус порта
FTP (File Transfer Protocol) 21 Offline
SSH (Secure Shell) 22 Offline
Telnet 23 Offline
SMTP (Send Mail Transfer Protocol) 25 Online
whois 43 Offline
DNS (Domain Name Service) 53 Offline
DHCP (Dynamic Host Control Protocol) 68 Offline
HTTP (HyperText Transfer Protocol) 80 Online
POP3 (Post Office Protocol, version 3) 110 Online
SFTP (Secure File Transfer Protocol) 115 Offline
NNTP (Network New Transfer Protocol) 119 Offline
NTP (Network Time Protocol) 123 Offline
NetBIOS 139 Offline
IMAP (Internet Message Access Protocol) 143 Online
SNMP (Simple Network Management Protocol) 161 Offline
IMAP3 (Internet Message Access Protocol 3) 220 Offline
LDAP (Lightweight Directory Access Protocol) 389 Offline
SSL (Secure Socket Layer) 443 Offline
Oracle SQL 1521 Offline
NFS (Network File System) 2049 Offline
mySQL 3306 Offline
VNC 5800 Offline
HTTP 8080 Online
Наверное человек который настраивал сервачок не зря его оставил... ща поеду с ним пообщаюсь
ЗЫ: надеюсь кому-то поможет такой вот маленький нюансик