Пытаются взломать по SSH



sonic
21.01.2009, 20:10

FreeBSD. На ней сервер в нете.

По логам вижу, что пытаются получить доступ к серверу путем подбора комбинации логина и пароля через SSH. Каждый день с задержкой в несколько секунд идет запрос. АЙ ПИ спаммера меняется каждый день.

Как можно присечь такое?

Мои варианты.

Фаерволом открыть доступ к порту ссш только для диапозона айпишников, на которых я обитаю, и всех тех, кто должен иметь доступ – но тут меня пугает ситуация, когда нужен будет срочно доступ из другого диапозона(к примеру я уеду куда-то)

писать абузы… только куда и как я не знаю :)

кто может помочь? :)



vlas_st
21.01.2009, 20:18

В линуксе есть такая интересная утилита как denyhosts, которая после определенного количества попыток прeсекает попытки подбора, довольно гибкая в настройках. Глянь, возможно оно есть и во фряхе также.



zif
21.01.2009, 20:28

В линуксе есть такая интересная утилита как denyhosts, которая после определенного количества попыток присекает попытки подбора, довольно гибкая в настройках. Глянь, возможно оно есть и во фряхе также.

Или в качестве быстро реализуемого варианта – отключить вход на сервак по паролю и ходить с помощью ключей! А парни пусть подбирают … :laught:



sonic
21.01.2009, 20:35

В линуксе есть такая интересная утилита как denyhosts, которая после определенного количества попыток присекает попытки подбора, довольно гибкая в настройках. Глянь, возможно оно есть и во фряхе также.

хм :) кстати да :) на фре есть суперсервер inetd.. он кажется тоже следит, чтобы не ломились сильно… может sshd за него поставить…

Или в качестве быстро реализуемого варианта – отключить вход на сервак по паролю и ходить с помощью ключей! А парни пусть подбирают … :laught:

:) но ключ опять же везде за собой таскать нужно…

+ а я когда где-то уезжаю, захожу на сервак через телефон.. кагбы за год 2 раза были такие экстренные случаи…



zif
21.01.2009, 20:38

ключ опять же везде за собой таскать нужно…



sonic,

он не сильно тяжелый! :lol:



vlas_st
21.01.2009, 20:39

хм :) кстати да :) на фре есть суперсервер inetd.. он кажется тоже следит, чтобы не ломились сильно…

по-моему, предназначение его слегка другое :upset:



sonic
21.01.2009, 20:47

по-моему, предназначение его слегка другое :upset:

как же?

_ttp://www.freebsd.org.ua/doc/ru_RU.KOI8-R/books/handbook/network-inetd.html (траф)

В первую очередь inetd используется для вызова других даемонов, но несколько простых протоколов, таких, как chargen, auth и daytime, обслуживаются непосредственно.



а два, из немногих, параметров – вообще то, что нужно

-C rate

Определение по умолчанию максимального количества раз, которое служба может быть вызвана с одного IP-адреса в минуту; по умолчанию не ограничено. Может быть переопределено для каждой службы параметром max-connections-per-ip-per-minute.

-R rate

Определяет максимальное количество раз, которое служба может быть вызвана в минуту; по умолчанию 256. Частота, равная 0, не ограничивает число вызовов.



он не сильно тяжелый!

:)



Joka
21.01.2009, 20:48

а порт ссш низя сменить не ?



zif
21.01.2009, 20:52

а порт ссш низя сменить не ?

Это не по пацански! Парням прийдется еще и порт подбирать! :laught:



Joka
21.01.2009, 20:54

порт подбирать!

отсечь нафиг icmp которые сканируют – спрятать сервер и все :)

делов на 10 минут



sonic
21.01.2009, 21:00

отсечь нафиг icmp которые сканируют – спрятать сервер и все :)

делов на 10 минут

ваууууу! ты мой герой :)))

так и сделаю

ЗЫ:.. как я не допер.. всего-то мосх надо было включить



zif
21.01.2009, 21:03

отсечь нафиг icmp которые сканируют – спрятать сервер и все

Тогда парни сотрут себе причинные места, убивая трафик порносайтами! А так, глядишь и чего умное придумают! :yes:

ЗЫ: Но идея тоже не столь прозрачна, хотя … Это как для меня, ископаемого *никсоида. :laught:



vlas_st
21.01.2009, 21:20

sonic,

Насколько мне известно, и как ты процетировал, inetd используется для запуска дргуих демонов, то, что он умеет ограничивать по количеству запросов в минуту — это хорошо. Ну будет с одного адреса N-е количество запросов, но они будут постоянно. Тебе здесь уже дали массу советов, как избавиться от твоей проблемы более простыми путями :)



sonic
21.01.2009, 22:38

ага :)

я выбираю вариант Joka :)



tinimi
24.01.2009, 11:47

sonic,

постоянно такое на серверах наблюдаю. поставить защищенный пароль и не париться…



Schum@cheR
27.01.2009, 16:02

как вариант можно перенести порт SSH с 22-го на любой другой… насколько это долго сможет помогать, незнаю…

На просторах линуксфорума нашел:

iptables – A INPUT – p tcp – m state — – state NEW – - dport 22 – m recent — – update – - seconds 20 – j DROP

iptables – A INPUT – p tcp – m state — – state NEW – - dport 22 – m recent — – set – j ACCEPT

Все кто ломятся быстрее 20 сек — отлетают, т.е. определяются как боты-брутфорсеры. Просто и эффективно.

а ещё вот интересная весчь:

SSH + PortKnocking

$IP=’/sbin/iptables’

$EXTIP=<Your external IP>

$IPT – A INPUT – d $EXTIP – p tcp –dport 1500 – j LOG

$IPT – A INPUT – d $EXTIP – m state –state NEW – m tcp – p tcp –dport 22 – m recent –rcheck –name SSH – j ACCEPT

$IPT – A INPUT – d $EXTIP – m state –state NEW – m tcp – p tcp –dport 1499 – m recent –name SSH –remove – j DROP

$IPT – A INPUT – d $EXTIP – m state –state NEW – m tcp – p tcp –dport 1500 – m recent –name SSH –set – j DROP

$IPT – A INPUT – d $EXTIP – m state –state NEW – m tcp – p tcp –dport 1501 – m recent –name SSH –remove – j DROP

$IPT – A INPUT – d $EXTIP – p tcp –dport 22 – j DROP

в двух словах выглядит примерно так: стучимся SYN пакетом на TCP-порт 1500 и открываем доступ к SSH, SYN-пакет на TCP-порты 1499 и 1501 закрывают доступ к SSH



NeoN_Light
04.02.2009, 04:02

как вариант можно перенести порт SSH с 22-го на любой другой… насколько это долго сможет помогать, незнаю…

На просторах линуксфорума нашел:



а ещё вот интересная весчь:

в двух словах выглядит примерно так: стучимся SYN пакетом на TCP-порт 1500 и открываем доступ к SSH, SYN-пакет на TCP-порты 1499 и 1501 закрывают доступ к SSH

Портфорвардинг – это прошлый век, по сигнатуре сетевой маски демона можно определить кто сидит на порту, пусть ты его даже 1000-й порт забросиш…

А вот что касается второй цитаты – умно, такая же реализация есть и для FreeBSD на www.lissyara.su (www.lissyara.su), но лучше почитать доку к настройке демона, так же есть классная штука под названием DenyHosts вешается через inetd на rawsockets, анализирует методы подключения, а также при достижении порогового количества ошибочных авторизаций, «банит» клиента на указанный в конфиге срок (у меня 30 дней), есть функция вайт и блек листов для подсетей и выделенных адресов. Умеет предупреждать на мыло…

Тема: DenyHosts Report

От: «DenyHosts» <nobody@star.mksat.net>

Дата: Срд, 03 Дек 2008, 09:48

Кому: admin@star.mksat.net



Added the following hosts to /etc/hosts.deniedssh:

122.102.7.78

———————————————————————-

И пример «свежего» суточного отчета по безопасности:

Тема: star.mksat.net security run output

От: «Charlie Root» <root@star.mksat.net>

Дата: Втр, 03 Фев 2009, 03:11

Кому: admin@star.mksat.net

Checking setuid files and devices:

Checking for uids of 0:

root 0

toor 0

Checking for passwordless accounts:



star.mksat.net login failures:

star.mksat.net refused connections:

Feb 2 14:25:47 star inetd[38651]: refused connection from 58.196.13.14, service

sshd (tcp)

Feb 2 23:54:46 star inetd[44943]: refused connection from 86.55.3.8, service sshd

(tcp)

– End of security output –

Рутовый и пользовательские пассы у меня за 50+ символов, ежемесячно модифицирую его, т.к. захожу на сервер из разных уголков страны, и не факт что там нет клавиатурных шпионов, нет я не параноик, просто хочу спокойно спать… )))

Получение писем от демона недавно отключил, ибо ломится народ «оч.жоска», в следствии чего спам почтовика изнутри (хоть и ящик гиговый), просто просматриваю по утрам статистику безопасности.



vlas_st
04.02.2009, 09:59

Рутовый и пользовательские пассы у меня за 50+ символов, ежемесячно модифицирую его

Носишь с собой на бумажке его? :smile:

Господину root’y вообще не положено по всяким ссш-ам ходить :wink2:



zif
04.02.2009, 10:08

Носишь с собой на бумажке его? :smile:

Суровые челябинские админы? :lol:

Господину root’y вообще не положено по всяким ссш-ам ходить :wink2:

Та отож бо!



Schum@cheR
04.02.2009, 14:51

NeoN_Light,

ты так расказываеш как будто твой Star сервер не твой обычный домашний сервер, а сервер пентагона на котором лижат секретные коды к 10-ти атомным бомбам… я тя умоляю… мне кажется безопасность это хорошо, но такая безопасность это уже параноя, поверь если бы кто-то захотел бы сломать твой «сверх важный» сервер то они бы нашли выход, в крайнем случае пришли бы к тебе домой, выдернули бы его и забрали ))):lol:


Schum@cheR,

походу единственный кто так «жостко» может ломится это наш обший «друг» жаждущий мести ))))



NeoN_Light
04.02.2009, 15:34

NeoN_Light,

ты так расказываеш как будто твой Star сервер не твой обычный домашний сервер, а сервер пентагона на котором лижат секретные коды к 10-ти атомным бомбам… я тя умоляю… мне кажется безопасность это хорошо, но такая безопасность это уже параноя, поверь если бы кто-то захотел бы сломать твой «сверх важный» сервер то они бы нашли выход, в крайнем случае пришли бы к тебе домой, выдернули бы его и забрали ))):lol:


Schum@cheR,

походу единственный кто так «жостко» может ломится это наш обший «друг» жаждущий мести ))))

Неужели кому-то хочется ежедневно с нуля разворачивать свой сервер, после атаки?

Не хочу завлекать пользователей для нападения, но инфа на нем и его роль, очень высоки.

Да, действительно некий «общий друг» под названием //Mustang\\, SteelS и т.п. время от времени бьется головой о стену сервера, один из его успехов свелся к краже моего ДикогоСадовского почтовика, логин и пароль от которого он знал, для инициализации спама. Админы в курсе, вредитель по заднице получил…

А любителям поофтопить я могу показать где есть соответствующий раздел.



zif
04.02.2009, 15:50

Я специалист по безопасности и это моя работа.

Если вышенаписанное – реальность, а не рисовка, то настоятельно советую почитать про ключи …

man ssh-keygen



NeoN_Light
04.02.2009, 15:59

Если вышенаписанное – реальность, а не рисовка, то настоятельно советую почитать про ключи …

man ssh-keygen

Спасибо, используем :laught:

Но для дома, нужно ограничится парольным входом, это вынужденная мера.



Schum@cheR
04.02.2009, 16:54

Я специалист по безопасности и это моя работа.

прости конечно, нечего личного, но мне кажется это очень громко сказано…

но инфа на нем и его роль, очень высоки.

Улыбнуло, значит всё таки сотрудничаеш с пентагоном и попросили ключили от ядерных боеголовок у себя придержать на время ?

По теме: правильно было сказано, рутаком ваше лутше по ssh Не ходить…



NeoN_Light
04.02.2009, 16:57

прости конечно, нечего личного, но мне кажется это очень громко сказано…

Ну вот снова вынуждаешь оффтопить, страж порядка на хабе ДС…

Ты хочешь сказать что видел мою трудовую книжку? :laught:

Или хотя бы знаешь, где я сейчас работаю и чем занимаюсь? Вот именно, так что завязываем оффтопить!

Если есть спорные вопросы, пишите в личку, мусорите ведь в теме попусту…

P.S.: Все можно взломать, даже бетонную стену фаервола с единственным правилом «deny all from any to any», учите матчать, курите маны, пишите гуглу, обратите внимание на модель уровней OSI, нечего выпендриватся попусту.

Думаете почему владельцы сверхнадежных серверов, систем и сетевого оборудования занимаются териториально разнесенным бекапированием?



banzalik
04.02.2009, 17:17

NeoN_Light, ну зачем эти слова, покажи диплом



zif
04.02.2009, 21:26

Все можно взломать, даже бетонную стену фаервола с единственным правилом «deny all from any to any»

Читая мантры? :wow:

Наверное все-таки разделом ошиблись …



Joka
05.02.2009, 06:50

даже бетонную стену фаервола с единственным правилом «deny all from any to any»

а показать можете ? предоставлю свой сервер для этого

реально интересно



zif
05.02.2009, 10:08

а показать можете ? предоставлю свой сервер для этого

реально интересно

+1

Может назначим приз, Дим?



Joka
05.02.2009, 10:10

Может назначим приз, Дим?

без проблем – плачу сотню если покажет как обойти файервол на таких правилах



vlas_st
05.02.2009, 10:50

Предлагаю дополнительно организовать видеосъемку и скринкасты.



NeoN_Light
05.02.2009, 16:57

Сделаю подсказочку очень простую, представьте в подробностях как передается информация по модели уровней OSI,

так же обратите внимание какие из этих уровней перекрывает програмный фаервол.

Для особо продвинутых рекомендую изучить модель взаимодействия програмных модулей с бортовым сетевым оборудованием.

Кому интересно, пишите в личку, вооружу литературой.

И прошу Вас, забудьте что я занимаюсь безопасностью, я не говорю что я Майкл Джексон или Джон Вейн, я такой же как Вы, где-то более компетентен, где-то менее.

В дальнейшем прошу писать исключительно по теме, если у Вас нарекания лично ко мне, в моем профиле вы найдете контактные сведения.

С радостью отвечу на все Ваши вопросы без офтопа на общегородском форуме.

P.S.: Считаю, что тема достигла своего апогея, и дальнейшее общение в ней неминуемо приведет к выдаче нарушений,

по этому рекомендую автору походатайствовать о закрытии темы, т.к. она вполне «раскрыта»!



sonic
05.02.2009, 17:32

ого нафлудили



zif
06.02.2009, 09:09

Дмитрий (a.k.a. Joka),

похоже речь идет о том единственно возможном в данном случае методе взлома, который мы с Вами обсудили в теме о контрафактном ПО. :yes:

vlas_st,

за видеосъемку этого варианта взлома нас, Олег, могут не только забанить … :laught:



sonic
06.02.2009, 12:44

по теме. не думаю, что кто-то целенаправленно ломает мой сервер.. там ничего особо ценного нет… с полтинник сайтов и все.

скорее всего это какие-то боты…



Найти информацию?

Используйте форму ниже, чтобы начать поиск по сайту:

Не нашли то что искали? Напишите мне на почту, возможно я помогу найти Вам необходимую информацию!

Сыылки на полезные сайты!

Тут будут публиковаться ссылки на интересные ресурсы по теме...