ru_root: Наш ответ Чемберлену

mr_konung (

mr_konung) wrote in

ru_root,
@ 2007-05-25 14:00:00

Наш ответ Чемберлену
Народ, наверняка многие из вас сталкивались с брутфорс атаками на ваши SSH или какие-либо другие сервера. Интересует какие вы предпринимали ответные действия, а именно сообщали ли вы ИСП
атакующего о его действиях? и если да то в какой форме?
Был бы очень благодарен за пример такого письма. Учитывая то что большенство атакующих имеют штатовские или канадские IP было бы замечательно прочитать пример такого письма на английском.

(Post a new comment)

	mordaha 2007-05-25 11:07 am UTC (link)
	Это боты затрояненные атакуют, забей перенеси SSH "наверх" за 30000 порт куда-нить (Reply to this) (Thread)

	pzrk 2007-05-25 11:10 am UTC (link)
	Не поможет - найдут и продолжат брутфорсить. (Reply to this) (Parent)(Thread)

	ennoto 2007-05-25 11:17 am UTC (link)
	мне помогло уже давным-давно никаких брутфорсов (Reply to this) (Parent)(Thread)

	rbdc9 2007-05-25 07:37 pm UTC (link)
	Боты не те нынче пошли. Никакой усидчивости :) (Reply to this) (Parent)

	mordaha 2007-05-25 11:18 am UTC (link)
	не найдут ) у меня тоже логи засирало пока не перенес, с тех пор ни одной попытки ) хотя у меня еще портсентри стоит, так что видимо просканить до туда не успевают (Reply to this) (Parent)

	0xd34df00d 2007-05-26 03:03 am UTC (link)
	1. 10022 - не брутфорсят вообще ) 2. http://gentoo-wiki.com/HOWTO_Protect_SSHD_with_Swatch http://gentoo-wiki.com/HOWTO_Protect_SSHD_with_DenyHosts http://gentoo-wiki.com/HOWTO_Protect_SSHD_with_IP_Tables (Reply to this) (Parent)

pzrk
2007-05-25 11:09 am UTC (link)

В подавляющем большинстве случаев это бесполезно, ибо занимаются этим затрояненные компутеры тупых усеров. Посему:
iptables -t filter -A INPUT -p tcp --dport 22 \ -m state --state NEW -m recent --set iptables -t filter -A INPUT -p tcp --dport 22 \ -m state --state NEW -m recent --update \ --seconds 10 --hitcount 2 -j TARPIT

(Reply to this)

	dil 2007-05-25 11:12 am UTC (link)
	Ответное действие- запретить авторизацию по логину и паролю. Очень помогает :) (Reply to this) (Thread)

	rbdc9 2007-05-25 07:37 pm UTC (link)
	+1 (Reply to this) (Parent)

fox_mulder_cp
2007-05-25 11:20 am UTC (link)

после переноса всех верваков ssh на порт куда-то за 30000(с) логи авторизации вообще почти пустые ;)
2. разрешить доступ на порт тоьлко с нужных айпишников/подсетей
п выше - только на конкретного юзера, т.е. допустим у меня дома статик айпи. говорю в конфиге, что юзер такой может ходить из локалнета, дома и к примеру айпишников мобильного оператора и вуаля. все подробности в мане ssh=google. кстати так очень секурно. ну и плюс ключики :)

(Reply to this)

	ospf_ripe 2007-05-25 11:21 am UTC (link)
	Написание жалоб о подборе паролей ISP это лишняя трата времени. Если не хочется чтоб подбирали, то открой доступ только из нужных тебе сетей. (Reply to this)

dj_steam
2007-05-25 11:38 am UTC (link)

DenyHosts - гибко настраивается, имеет возможность получать АйПи-шники плохо зарекоменвовавших себя хостов (наличие юзернета). Имеет возможность отправления "плохих АйПи" так-же наверх в юзернет, отчётов для статистики. Что потом со статистикой делают - думаю понятно.

(Reply to this) (Thread)

	mr_konung 2007-05-25 03:58 pm UTC (link)
	Гляну - спасиб. (Reply to this) (Parent)

	deepone 2007-05-25 12:07 pm UTC (link)
	лимичу коннекты на 22 порт по времени с айпишника - самоё оно жаловатся безмазняк - они сами не ведают что творят (Reply to this)

brj
2007-05-25 12:59 pm UTC (link)

cd /usr/ports/security/sshguard
make install clean WITH_PF=yes

echo "auth.info;authpriv.info |exec /usr/local/sbin/sshguard" >> /etc/syslog.conf

internet="vlan50"
table persist
block in quick on $internet from label "ssh bruteforce"

pfctl -f /etc/pf.conf
/etc/rc.d/syslogd restart

shguard[1048576]: Started successfully [(a,p,s)=(4, 420, 1200)], now ready to scan.

sshd[1048577]: Invalid user administrador from 211.138.241.51
sshd[1048579]: Invalid user publica from 211.138.241.51
sshd[1048580]: Invalid user rbecerril from 211.138.241.51
sshd[1048581]: Invalid user rvences from 211.138.241.51

sshguard[1048582]: Blocking 211.138.241.51: 4 failures over 15 seconds.
sshguard[1048583]: Releasing 211.138.241.51 after 490 seconds.

(Reply to this) (Thread)

	mr_konung 2007-05-25 03:57 pm UTC (link)
	Кстати мысль. спасиб. (Reply to this) (Parent)

	zhukov_pavel 2007-05-25 05:12 pm UTC (link)
	Все уже давно решили. Без изменения портов и прочего. Особенно рулит в режиме синхронизации. (Reply to this) (Thread)

	rbdc9 2007-05-25 07:44 pm UTC (link)
	О, прикольно. Спасибо за наводку. (Reply to this) (Parent)

fearan
2007-05-25 10:21 pm UTC (link)

Сталкивался. Например, вот с таким брутфорсом:

Dec 15 01:42:04 freebsd sshd[32726]: Illegal user a from 66.93.66.252
Dec 15 01:42:10 freebsd sshd[32728]: Illegal user b from 66.93.66.252
Dec 15 01:42:15 freebsd sshd[32730]: Illegal user c from 66.93.66.252
Dec 15 01:42:25 freebsd sshd[32732]: Illegal user d from 66.93.66.252

Сообщил провайдеру. Сначала своему, потом провайдеру моего провайдера, потом половине московских NOC'ов.
Выслушал ответные "бугога", и пошел в кабак заливать горе хреновухой и заедать жареной свиньей.

(Reply to this) (Thread)

	megavolt_ss 2007-05-26 03:35 am UTC (link)
	Мне перебор делают типа alex, jony, admin, god и т.д. Не вижу опасности, к гейтам у меня доступ имеют три упыря (считая меня) и логины у нас совсем не из этого диапазона :) (Reply to this) (Parent)(Thread)

	fearan 2007-05-26 10:16 am UTC (link)
	Да не, словарные переборы - это в порядке вещей. А вот такие - это большая редкость. (Reply to this) (Parent)

	dynax60 2007-05-28 09:11 am UTC (link)
	mail:~# grep ^Port /etc/ssh/sshd_config Port 7022 mail:~# (Reply to this)

Username:		Create an Account Forgot your login or password? Login w/ OpenID
Password:
	Remember Me
	English • Español • Deutsch • Русский…

About

Help

Get Involved

Legal

Store

LJ Labs