SSH

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

SSH

Сообщение Ixion » Пн янв 03, 2011 8:31 pm

Всем привет. Все время в логах следующее:
Код: выделить все
Jan  3 16:40:38 localhost sshd[3023]: Invalid user guest from 210.211.97.167
Jan  3 16:42:34 localhost sshd[3129]: Invalid user oracle from 210.211.97.167
Jan  3 16:42:37 localhost sshd[3132]: Invalid user oracle from 210.211.97.167
Jan  3 16:42:40 localhost sshd[3135]: Invalid user test from 210.211.97.167
Jan  3 16:42:42 localhost sshd[3137]: Invalid user test from 210.211.97.167
Jan  3 16:42:45 localhost sshd[3140]: Invalid user test from 210.211.97.167
Jan  3 16:44:01 localhost sshd[3154]: Invalid user benjie from 124.207.150.66
Jan  3 16:44:10 localhost sshd[3159]: Invalid user bob from 124.207.150.66
Jan  3 16:44:17 localhost sshd[3162]: Invalid user test from 124.207.150.66
Jan  3 16:44:23 localhost sshd[3165]: Invalid user m from 124.207.150.66
Jan  3 16:44:33 localhost sshd[3168]: Invalid user dave from 124.207.150.66
Jan  3 16:44:39 localhost sshd[3171]: Invalid user gary from 124.207.150.66
Jan  3 16:44:50 localhost sshd[3174]: Invalid user jenny from 124.207.150.66
Jan  3 16:44:56 localhost sshd[3177]: Invalid user cvsuser from 124.207.150.66
Jan  3 16:45:03 localhost sshd[3180]: Invalid user dumps from 124.207.150.66
Jan  3 16:45:09 localhost sshd[3183]: Invalid user gina from 124.207.150.66
Jan  3 16:45:16 localhost sshd[3186]: Invalid user 123 from 124.207.150.66
Jan  3 16:45:24 localhost sshd[3189]: Invalid user sm from 124.207.150.66
Jan  3 16:45:31 localhost sshd[3192]: Invalid user user3 from 124.207.150.66
Jan  3 16:46:27 localhost sshd[3205]: Invalid user mobile from 207.195.64.2
Jan  3 16:46:32 localhost sshd[3208]: Invalid user mobile from 207.195.64.2
Jan  3 16:46:33 localhost sshd[3210]: Invalid user mobile from 207.195.64.2
Jan  3 16:46:35 localhost sshd[3212]: Invalid user mobile from 207.195.64.2
Jan  3 16:46:37 localhost sshd[3214]: Invalid user system from 207.195.64.2
Jan  3 16:46:39 localhost sshd[3217]: Invalid user base from 207.195.64.2
Jan  3 16:46:40 localhost sshd[3219]: Invalid user sybase from 207.195.64.2
Jan  3 16:46:42 localhost sshd[3221]: Invalid user dybase from 207.195.64.2
Jan  3 16:46:47 localhost sshd[3224]: Invalid user ingvi from 207.195.64.2
Jan  3 16:46:49 localhost sshd[3226]: Invalid user thenewpush from 207.195.64.2
Jan  3 16:46:51 localhost sshd[3229]: Invalid user static from 207.195.64.2
Jan  3 16:46:53 localhost sshd[3231]: Invalid user static from 207.195.64.2
Jan  3 16:46:55 localhost sshd[3233]: Invalid user com from 207.195.64.2
Jan  3 16:46:56 localhost sshd[3235]: Invalid user dotde from 207.195.64.2
Jan  3 16:46:58 localhost sshd[3238]: Invalid user dot from 207.195.64.2

Айпишники разные, российские, канадские, бразильские... И невдомек этим "хацкерам", что авторизация по паролю в SSH отключена и используются RSA-ключи, да и паролей у юзеров просто нет. Но все же, по 1000 с лишним записей в логах об ошибках авторизации действуют на нервы, администрация хостинга с этим хоть как-то борется, или нет?
Ixion
 
Сообщений: 3
Зарегистрирован: Пн янв 03, 2011 8:23 pm

Сообщение ls » Пн янв 03, 2011 8:33 pm

Перевешайте ssh на другой порт или используйте denyhosts или fail2ban для блокирования таких IP-адресов.

Или не обращать внимания :)
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Сообщение ttys » Сб янв 15, 2011 12:11 am

какая ос? точнее какой фаер?
в зависимости от этого разные подходы :)
ttys
 
Сообщений: 5
Зарегистрирован: Пт янв 14, 2011 11:51 pm
Откуда: Горловка

Сообщение ttys » Сб янв 15, 2011 12:18 am

ls писал(а):Перевешайте ssh на другой порт или используйте denyhosts или fail2ban для блокирования таких IP-адресов.

Или не обращать внимания :)

nmap определяет перевешенные порты, а добавлением 2х строчек в фаер мона блочить таких паршивцев без всяческих дополнительных софтин :D
ttys
 
Сообщений: 5
Зарегистрирован: Пт янв 14, 2011 11:51 pm
Откуда: Горловка

Сообщение Лена » Сб янв 15, 2011 12:34 am

Мой подход под FreeBSD: sshd из inetd, а в inetd.conf лимит 3 соединения в секунду с одного IP-адреса. Это не ликвидирует такие строчки в логах, но резко уменьшает их количество.

Большинству наверно проще другой порт.

Занимаются этим долбежом не люди, а ботнет.
Лена
Cool UNIX administrator
 
Сообщений: 810
Зарегистрирован: Вс дек 09, 2007 1:36 pm
Откуда: Киев

Сообщение ttys » Вс янв 16, 2011 11:08 pm

ttys
 
Сообщений: 5
Зарегистрирован: Пт янв 14, 2011 11:51 pm
Откуда: Горловка

Сообщение ls » Пн янв 17, 2011 8:15 am

pf на VDS не работает, ограничение виртуализации.
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6405
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Сообщение Ixion » Вт янв 18, 2011 2:06 pm

ttys писал(а):какая ос? точнее какой фаер?
в зависимости от этого разные подходы :)

Debian Squeze. Поставил fail2ban с и логи теперь чистые. :D
Ixion
 
Сообщений: 3
Зарегистрирован: Пн янв 03, 2011 8:23 pm

Сообщение ttys » Вт янв 18, 2011 7:04 pm

юзай авторизацию по ключу
ttys
 
Сообщений: 5
Зарегистрирован: Пт янв 14, 2011 11:51 pm
Откуда: Горловка

Сообщение ttys » Вт янв 18, 2011 7:08 pm

Ixion писал(а):
ttys писал(а):какая ос? точнее какой фаер?
в зависимости от этого разные подходы :)

Debian Squeze. Поставил fail2ban с и логи теперь чистые. :D

кусок скрипта загрузки фаера:

Код: выделить все
IPTABLES=/sbin/iptables
$IPTABLES -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource
$IPTABLES -A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH --rsource -j LOG --log-level debug --log-prefix "IPTABLES: SSH_BRUTFORCE: "
$IPTABLES -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH --rsource -j DROP

Код: выделить все
uname -a
Linux adi 2.6.26-2-686 #1 SMP Thu Nov 25 01:53:57 UTC 2010 i686 GNU/Linux
ttys
 
Сообщений: 5
Зарегистрирован: Пт янв 14, 2011 11:51 pm
Откуда: Горловка

Сообщение Ixion » Ср янв 19, 2011 1:17 am

ttys писал(а):юзай авторизацию по ключу

В первом посте темы же написано, что авторизация по паролю запрещена. Единственное что действовало на нервы, это мусор в логах.
Ixion
 
Сообщений: 3
Зарегистрирован: Пн янв 03, 2011 8:23 pm


Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1