Автор Тема: Атаки? Нужны ли дополнительные меры?  (Прочитано 2511 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн vladimir_ar

Собственно, сабж.
Под спойлерами куски логов авторизации.
Spoiler: ShowHide
Oct  7 06:23:27 GNU-HOME sshd[30175]: Address 66.240.245.136 maps to srv2mail.creativereports.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct  7 06:23:27 GNU-HOME sshd[30175]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.240.245.136  user=bin
Oct  7 06:23:28 GNU-HOME sshd[30175]: Failed password for bin from 66.240.245.136 port 63330 ssh2
Oct  7 06:23:29 GNU-HOME sshd[30175]: Received disconnect from 66.240.245.136: 11: Bye Bye [preauth]

Spoiler: ShowHide
Oct  7 23:27:21 GNU-HOME sshd[27513]: Invalid user test from 211.154.201.42
Oct  7 23:27:21 GNU-HOME sshd[27513]: input_userauth_request: invalid user test [preauth]
Oct  7 23:27:21 GNU-HOME sshd[27513]: pam_unix(sshd:auth): check pass; user unknown
Oct  7 23:27:21 GNU-HOME sshd[27513]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.154.201.42
Oct  7 23:27:23 GNU-HOME sshd[27513]: Failed password for invalid user test from 211.154.201.42 port 60344 ssh2
Oct  7 23:27:24 GNU-HOME sshd[27513]: Received disconnect from 211.154.201.42: 11: Bye Bye [preauth]

Spoiler: ShowHide
Sep 30 12:29:26 GNU-HOME sshd[7962]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.6.145.5  user=root
Sep 30 12:29:29 GNU-HOME sshd[7962]: Failed password for root from 218.6.145.5 port 39545 ssh2
Sep 30 12:29:29 GNU-HOME sshd[7962]: Connection closed by 218.6.145.5 [preauth]

Spoiler: ShowHide
Sep 30 17:53:00 GNU-HOME sshd[5064]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.188.3.56  user=root
Sep 30 17:53:02 GNU-HOME sshd[5064]: Failed password for root from 119.188.3.56 port 53511 ssh2
Sep 30 17:53:03 GNU-HOME sshd[5064]: Received disconnect from 119.188.3.56: 11: Bye Bye [preauth]

SSH не пользуюсь (пока) и не настраивал. Это чем-то грозит (что он не настроен)? Вообще какие-то меры принимать следует в такой ситуации?
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M
 

Оффлайн gardarea51

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #1 : 08 Октября 2012, 13:21:51 »
Ну он же вроде таймаут выставляет. Запретите вход от root, разрешите только от определенного пользователя. Там может быть есть возможность указать количество попыток и таймаут (не помню уже, но наверное должно быть). Измените умолчальный порт на к примеру 222. И если не используете сервис - отключите его пока, зачем ему слушать сеть.
 

Оффлайн vladimir_ar

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #2 : 08 Октября 2012, 14:01:05 »
Пока да - ssh выгрузил. Но собираюсь его поднять со временем, чтобы на домашний ящик можно было заходить. Интересовало, что при не настроенном ssh (по умолчанию установлен и демон запускается) это чем-то грозит (в ssh, по идее, никаких настроек и он никого не должен пустить)?

И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M
 

Оффлайн Angel_ok

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #3 : 08 Октября 2012, 17:29:20 »
И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.
Ничего себе.
Это домашний компьютер или сервер какой?
Вы думаете, всё так просто? Да, всё просто. Но совсем не так…
                                                                                                          Альберт Эйнштейн
 

Оффлайн Malaheenee

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #4 : 08 Октября 2012, 18:03:55 »
vladimir_ar, настраивать ssh сразу же (или вовсе его не устанавливать за ненадобностью) - очень хорошая привычка. Сразу прописываете пользователя, которому "туда тоже можно", порт, запрещаете логин от рута, ограничиваете число и время попыток...
Все мы где-то, когда-то и в чем-то были новичками.
 

Оффлайн vladimir_ar

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #5 : 08 Октября 2012, 20:24:47 »
Angel_ok, просто домашний комп.
Malaheenee, теперь так и сделаю (и дальше буду делать). Просто до этого как-то не задумывался. Пока убрал запуск ssh, как будет время - настрою.
« Последнее редактирование: 08 Октября 2012, 20:27:27 от vladimir_ar »
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M
 

Оффлайн corner

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #6 : 08 Октября 2012, 20:39:47 »
Чего переживать?
1. Исходя из логов, ни одного успешного подключения. Это просто очередные нападки китайских ботов.
Сканирование на имена root, mail и т.д. Традиционный в сети отсев "дураков". Ну как в лесу  :)
2. По умолчанию доступ root в Debian ssh и так запрещен.
3. Замена порта сегодня уже, в принципе, ничего не дает. Nmap раскусывает это дело "на раз".
4. Обычно, при грамотном использовании ssh, применяется ограничения по пользователям (IP). Придумайте для ssh "мудреного" пользователя. Ну настроить ssh получше.
5. Дополнительно защита обеспечивается несложными правилами iptables, направленными на ограничение соединений ssh.
В принципе все.
А то, что боты пытались зайти - так не зашли же?
 

Оффлайн ihammers

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #7 : 08 Октября 2012, 20:48:21 »
Интересовало, что при не настроенном ssh (по умолчанию установлен и демон запускается) это чем-то грозит (в ssh, по идее, никаких настроек и он никого не должен пустить)?

И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.
В принципе ничего не должно случиться, даже с базовыми настройками.  Ну если вы конечно не используете простой пароль аля qwerty или какое-нибудь слово.  А так для большего успокоения можно поставить fail2ban и банить мин на 15 после 3-х неудачных попыток входа с одного ip.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
 

Оффлайн vladimir_ar

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #8 : 08 Октября 2012, 20:57:49 »
corner, нет, не зашли. Но все же не лишне, раз уж обратил внимание, разобраться и принять меры. И спокойнее, и для себя с пользой.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M
 

Оффлайн corner

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #9 : 08 Октября 2012, 22:18:55 »
iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SH_"
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
Даже такое простенькое правило iptables, как правило, напрочь отбивает охотников вломиться. Если первая попытка прошла не удачно, то вторая попытка будёт через 60 секунд, а если и вторая провалилась - не обессудьте...
 

lisss

  • Гость
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #10 : 09 Октября 2012, 02:25:45 »
нестандартный порт и нестандартный пользователь (как написали выше, ни root, ни mail, ни совпадающий со службами) дают 100% защиту от "случайного" взлома.
от направленного взлома поможет файервол и Port Knocking (все вопросы к гуглу).
 

Оффлайн gardarea51

Re: Атаки? Нужны ли дополнительные меры?
« Ответ #11 : 09 Октября 2012, 07:25:49 »
Можно также использовть файл ключей заместо пароля..
 

Оффлайн Washington Irving

  • Новичок форума
  • Сообщений: 9
Re: Атаки? Нужны ли дополнительные меры?
« Ответ #12 : 21 Ноября 2012, 01:10:32 »
TARPIT вам в помощь.
 

Теги: