Автор Тема: Атаки? Нужны ли дополнительные меры?  (Прочитано 2452 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн vladimir_ar

  • Ветеран
  • *****
  • Topic Author
  • Сообщений: 1624
Собственно, сабж.
Под спойлерами куски логов авторизации.
Spoiler: ShowHide
Oct  7 06:23:27 GNU-HOME sshd[30175]: Address 66.240.245.136 maps to srv2mail.creativereports.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct  7 06:23:27 GNU-HOME sshd[30175]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.240.245.136  user=bin
Oct  7 06:23:28 GNU-HOME sshd[30175]: Failed password for bin from 66.240.245.136 port 63330 ssh2
Oct  7 06:23:29 GNU-HOME sshd[30175]: Received disconnect from 66.240.245.136: 11: Bye Bye [preauth]

Spoiler: ShowHide
Oct  7 23:27:21 GNU-HOME sshd[27513]: Invalid user test from 211.154.201.42
Oct  7 23:27:21 GNU-HOME sshd[27513]: input_userauth_request: invalid user test [preauth]
Oct  7 23:27:21 GNU-HOME sshd[27513]: pam_unix(sshd:auth): check pass; user unknown
Oct  7 23:27:21 GNU-HOME sshd[27513]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.154.201.42
Oct  7 23:27:23 GNU-HOME sshd[27513]: Failed password for invalid user test from 211.154.201.42 port 60344 ssh2
Oct  7 23:27:24 GNU-HOME sshd[27513]: Received disconnect from 211.154.201.42: 11: Bye Bye [preauth]

Spoiler: ShowHide
Sep 30 12:29:26 GNU-HOME sshd[7962]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.6.145.5  user=root
Sep 30 12:29:29 GNU-HOME sshd[7962]: Failed password for root from 218.6.145.5 port 39545 ssh2
Sep 30 12:29:29 GNU-HOME sshd[7962]: Connection closed by 218.6.145.5 [preauth]

Spoiler: ShowHide
Sep 30 17:53:00 GNU-HOME sshd[5064]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.188.3.56  user=root
Sep 30 17:53:02 GNU-HOME sshd[5064]: Failed password for root from 119.188.3.56 port 53511 ssh2
Sep 30 17:53:03 GNU-HOME sshd[5064]: Received disconnect from 119.188.3.56: 11: Bye Bye [preauth]

SSH не пользуюсь (пока) и не настраивал. Это чем-то грозит (что он не настроен)? Вообще какие-то меры принимать следует в такой ситуации?
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M
 

Оффлайн gardarea51

  • Старожил
  • ****
  • Сообщений: 769
  • Jabber: gard.area51@jabber.ru
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #1 : 08 Октябрь 2012, 13:21:51 »
Ну он же вроде таймаут выставляет. Запретите вход от root, разрешите только от определенного пользователя. Там может быть есть возможность указать количество попыток и таймаут (не помню уже, но наверное должно быть). Измените умолчальный порт на к примеру 222. И если не используете сервис - отключите его пока, зачем ему слушать сеть.
 

Оффлайн vladimir_ar

  • Ветеран
  • *****
  • Topic Author
  • Сообщений: 1624
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #2 : 08 Октябрь 2012, 14:01:05 »
Пока да - ssh выгрузил. Но собираюсь его поднять со временем, чтобы на домашний ящик можно было заходить. Интересовало, что при не настроенном ssh (по умолчанию установлен и демон запускается) это чем-то грозит (в ssh, по идее, никаких настроек и он никого не должен пустить)?

И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M
 

Оффлайн Angel_ok

  • Местный житель
  • ***
  • Сообщений: 485
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #3 : 08 Октябрь 2012, 17:29:20 »
И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.
Ничего себе.
Это домашний компьютер или сервер какой?
Вы думаете, всё так просто? Да, всё просто. Но совсем не так…
                                                                                                          Альберт Эйнштейн
 

Оффлайн Malaheenee

  • Ветеран
  • *****
  • Сообщений: 2565
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #4 : 08 Октябрь 2012, 18:03:55 »
vladimir_ar, настраивать ssh сразу же (или вовсе его не устанавливать за ненадобностью) - очень хорошая привычка. Сразу прописываете пользователя, которому "туда тоже можно", порт, запрещаете логин от рута, ограничиваете число и время попыток...
Все мы где-то, когда-то и в чем-то были новичками.
 

Оффлайн vladimir_ar

  • Ветеран
  • *****
  • Topic Author
  • Сообщений: 1624
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #5 : 08 Октябрь 2012, 20:24:47 »
Angel_ok, просто домашний комп.
Malaheenee, теперь так и сделаю (и дальше буду делать). Просто до этого как-то не задумывался. Пока убрал запуск ssh, как будет время - настрою.
« Последнее редактирование: 08 Октябрь 2012, 20:27:27 от vladimir_ar »
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M
 

Оффлайн corner

  • Местный житель
  • ***
  • Сообщений: 211
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #6 : 08 Октябрь 2012, 20:39:47 »
Чего переживать?
1. Исходя из логов, ни одного успешного подключения. Это просто очередные нападки китайских ботов.
Сканирование на имена root, mail и т.д. Традиционный в сети отсев "дураков". Ну как в лесу  :)
2. По умолчанию доступ root в Debian ssh и так запрещен.
3. Замена порта сегодня уже, в принципе, ничего не дает. Nmap раскусывает это дело "на раз".
4. Обычно, при грамотном использовании ssh, применяется ограничения по пользователям (IP). Придумайте для ssh "мудреного" пользователя. Ну настроить ssh получше.
5. Дополнительно защита обеспечивается несложными правилами iptables, направленными на ограничение соединений ssh.
В принципе все.
А то, что боты пытались зайти - так не зашли же?
 

Оффлайн ihammers

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1742
  • Jabber: ihammers@jabber.ru
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #7 : 08 Октябрь 2012, 20:48:21 »
Интересовало, что при не настроенном ssh (по умолчанию установлен и демон запускается) это чем-то грозит (в ssh, по идее, никаких настроек и он никого не должен пустить)?

И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.
В принципе ничего не должно случиться, даже с базовыми настройками.  Ну если вы конечно не используете простой пароль аля qwerty или какое-нибудь слово.  А так для большего успокоения можно поставить fail2ban и банить мин на 15 после 3-х неудачных попыток входа с одного ip.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
 

Оффлайн vladimir_ar

  • Ветеран
  • *****
  • Topic Author
  • Сообщений: 1624
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #8 : 08 Октябрь 2012, 20:57:49 »
corner, нет, не зашли. Но все же не лишне, раз уж обратил внимание, разобраться и принять меры. И спокойнее, и для себя с пользой.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M
 

Оффлайн corner

  • Местный житель
  • ***
  • Сообщений: 211
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #9 : 08 Октябрь 2012, 22:18:55 »
iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SH_"
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
Даже такое простенькое правило iptables, как правило, напрочь отбивает охотников вломиться. Если первая попытка прошла не удачно, то вторая попытка будёт через 60 секунд, а если и вторая провалилась - не обессудьте...
 

lisss

  • Гость
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #10 : 09 Октябрь 2012, 02:25:45 »
нестандартный порт и нестандартный пользователь (как написали выше, ни root, ни mail, ни совпадающий со службами) дают 100% защиту от "случайного" взлома.
от направленного взлома поможет файервол и Port Knocking (все вопросы к гуглу).
 

Оффлайн gardarea51

  • Старожил
  • ****
  • Сообщений: 769
  • Jabber: gard.area51@jabber.ru
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #11 : 09 Октябрь 2012, 07:25:49 »
Можно также использовть файл ключей заместо пароля..
 

Оффлайн Washington Irving

  • Новичок форума
  • Сообщений: 9
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #12 : 21 Ноябрь 2012, 01:10:32 »
TARPIT вам в помощь.
 

Теги: