Несанкционированная попытка ssh-авторизации на сервере.

Обсуждаем OS FreeBSD и сервисы на ней.

Несанкционированная попытка ssh-авторизации на сервере.

Сообщение Андрей » 08 апр 2009, 09:20

Приветствую всех. столкнулся с проблемой, что кто-то хочет подключиться по ssh к моему серверу. Привожу то, что мне пишется в auth.log:
Apr 8 10:00:47 Billing sshd[46829]: Invalid user admin from 216.245.193.170
Apr 8 10:00:47 Billing sshd[46829]: error: PAM: authentication error for illegal user admin from web.sconed.com
Apr 8 10:00:47 Billing sshd[46829]: Failed keyboard-interactive/pam for invalid user admin from 216.245.193.170 port 56544 ssh2
Apr 8 10:01:46 Billing sshd[46832]: reverse mapping checking getaddrinfo for 64-130-221-193.static-ip.ravand.ca [64.130.221.193] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 8 10:01:46 Billing sshd[46832]: Invalid user admin from 64.130.221.193
Apr 8 10:01:46 Billing sshd[46832]: error: PAM: authentication error for illegal user admin from 64.130.221.193
Apr 8 10:01:46 Billing sshd[46832]: Failed keyboard-interactive/pam for invalid user admin from 64.130.221.193 port 42477 ssh2
Apr 8 10:01:52 Billing sshd[46835]: Invalid user admin from 91.199.73.24
Apr 8 10:01:52 Billing sshd[46835]: error: PAM: authentication error for illegal user admin from mail.cyh.com.tr
Apr 8 10:01:52 Billing sshd[46835]: Failed keyboard-interactive/pam for invalid user admin from 91.199.73.24 port 44700 ssh2
Apr 8 10:02:12 Billing sshd[46838]: Invalid user admin from 67.18.18.210
Apr 8 10:02:12 Billing sshd[46838]: error: PAM: authentication error for illegal user admin from d2.12.1243.static.theplanet.com
Apr 8 10:02:12 Billing sshd[46838]: Failed keyboard-interactive/pam for invalid user admin from 67.18.18.210 port 46188 ssh2
Apr 8 10:02:51 Billing sshd[46852]: Invalid user admin from 212.235.44.138
Apr 8 10:02:51 Billing sshd[46852]: error: PAM: authentication error for illegal user admin from dsl212-235-44-138.bb.netvision.net.il
Apr 8 10:02:51 Billing sshd[46852]: Failed keyboard-interactive/pam for invalid user admin from 212.235.44.138 port 58939 ssh2
Apr 8 10:03:21 Billing sshd[46859]: Invalid user admin from 200.140.159.133
Apr 8 10:03:21 Billing sshd[46859]: error: PAM: authentication error for illegal user admin from webmail.sistemafieg.org.br
Apr 8 10:03:21 Billing sshd[46859]: Failed keyboard-interactive/pam for invalid user admin from 200.140.159.133 port 50383 ssh2
Apr 8 10:03:45 Billing sshd[46862]: Invalid user admin from 216.45.58.210


Подскажите, как с этим бороться? Я конечно понимаю, что самый простой выход - поставить километровые пароли, но пока мне это не возможно.

Заранее благодарен всем.

ЗЫ. Закрыть внешний ssh нельзя.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Несанкционированная попытка ssh-авторизации на сервере.

Сообщение MadMax » 08 апр 2009, 12:32

ЗЫ. Закрыть внешний ssh нельзя.

т.е. вариант с "прибиванием" в файр адресов с которых доступен 22 порт не катит?

Можно посмотреть в сторону knocking утилит. Их принцип - слушать на заданных портах и при обнаружении пакета на них (обычно их количество и последовательность настраиваются) выполнять определённые действия. В твоём случае это может быть открытие 22 порта.

вот пара примеров
/usr/ports/security/doorman
/usr/ports/security/knock

есть утилиты которые блокируют доступ к 22 порту ip-адресам с которых производятся брутфорс атаки. Настраивать надо с осторожностью, чтобы не переборщить и не закрыть всё для всех наглухо :)

А вот ещё одна альтернатива - http://shimmer.sourceforge.net/
Последний раз редактировалось MadMax 08 апр 2009, 12:37, всего редактировалось 1 раз.
www.mega-net.ru - IT аутсорсинг
MadMax
Site Admin
 
Сообщения: 37
Зарегистрирован: 09 июл 2008, 15:39
Откуда: Moscow

Re: Несанкционированная попытка ssh-авторизации на сервере.

Сообщение root » 08 апр 2009, 12:35

это просто сканы из инета, а потом попытка подобрать по файлу с логинами+паролями пароль
в основном таким бот машины занимаются

Андрей писал(а):Подскажите, как с этим бороться?

ну методов масса

1. сменить порт для SSH, например на 2222
2. закрыть SSH фаиром и подключаться к серверу путем соездания PPTP туннеля, а потом уже к SSH стучаться
3. http://www.opennet.ru/tips/info/934.shtml
4.
Код: Выделить всё
Port:   portsentry-1.2
Path:   /usr/ports/security/portsentry
Info:   Port scan detection and active defense

5.
Код: Выделить всё
Port:   bruteblock-0.0.5_1
Path:   /usr/ports/security/bruteblock
Info:   Software for blocking bruteforce attacks with ipfw

6. Port knocking
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Несанкционированная попытка ssh-авторизации на сервере.

Сообщение Андрей » 08 апр 2009, 13:32

Открыть доступ только такому-то у меня не получится - я провайдер, но своей сетью не пользуюсь, а у другого провайдера динамические ip. Статический нет желания заказывать, т.к. инет у того провайдера путем не работает (сбои, перерывы связи и т.п.) Но сейчас не об этом.
Поставил имя пользователя нечто типа fDs9_abK8.34 и пароль длиннючий.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Несанкционированная попытка ssh-авторизации на сервере.

Сообщение root » 08 апр 2009, 13:38

каждый выбирает вариант удобный ему :)
логин можно было хоть root ставить
главное пароль и его стойкость к перебору
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Несанкционированная попытка ssh-авторизации на сервере.

Сообщение Андрей » 09 апр 2009, 06:51

А можно ли найти того, кто этим занимается?
Я вообще не понимаю, как можно так на одном компе брать любые адреса. Я понимаю, почему идет их бытрая смена, но как это возможно?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Несанкционированная попытка ssh-авторизации на сервере.

Сообщение lehisnoe » 09 апр 2009, 08:33

Андрей писал(а):А можно ли найти того, кто этим занимается?

Можно: IP-то у тебя в логах остается. Можешь накатать жалобу прову, в чью подсеть он входит. Но, в итоге, окажется, что это комп какой-нть домохозяйки, кот. ни сном ни духом ни про какие подборы паролей.
Андрей писал(а):Я вообще не понимаю, как можно так на одном компе брать любые адреса. Я понимаю, почему идет их бытрая смена, но как это возможно?

А кто тебе сказал, что сканы идут с одного компа? ;-)
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: Несанкционированная попытка ssh-авторизации на сервере.

Сообщение root » 09 апр 2009, 09:58

lehisnoe писал(а):А кто тебе сказал, что сканы идут с одного компа?

+1
это как спам, бот машинам отдают команду на скан, и понеслось, но т.к. бот машины не общаются между собой, вот и получается что к тебе стучится NNое кол-во ипов, но заметь, что они перебирают одни и те же логины ;)

Андрей такими вещами занимаются бот машины и их сотни тысяч в инете
вместо того чтобы искать, лучше озадачся поиском таковых у себя в сети и попытками снизить вероятность появления таковых у себя в сети
это будет гораздо эффективней, чем строчить сотни писем провам, которые их, возможно и читать не будут.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Несанкционированная попытка ssh-авторизации на сервере.

Сообщение Андрей » 09 апр 2009, 12:27

Ну в принципе я понял, что мудреные логины и длинючие пароли - единственный мой выход. Тема в принципе раскрыта. Всем спасибо.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Несанкционированная попытка ssh-авторизации на сервере.

Сообщение Андрей » 11 апр 2009, 20:02

А можно ли посмотреть какие пароли пытаются подобрать?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

След.

Вернуться в FreeBSD

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37

cron