Атаки? Нужны ли дополнительные меры?

Автор vladimir_ar, 08 октября 2012, 12:17:27

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

vladimir_ar

Собственно, сабж.
Под спойлерами куски логов авторизации.
Открыть содержимое (спойлер)

Oct  7 06:23:27 GNU-HOME sshd[30175]: Address 66.240.245.136 maps to srv2mail.creativereports.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct  7 06:23:27 GNU-HOME sshd[30175]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.240.245.136  user=bin
Oct  7 06:23:28 GNU-HOME sshd[30175]: Failed password for bin from 66.240.245.136 port 63330 ssh2
Oct  7 06:23:29 GNU-HOME sshd[30175]: Received disconnect from 66.240.245.136: 11: Bye Bye [preauth]
[свернуть]
Открыть содержимое (спойлер)

Oct  7 23:27:21 GNU-HOME sshd[27513]: Invalid user test from 211.154.201.42
Oct  7 23:27:21 GNU-HOME sshd[27513]: input_userauth_request: invalid user test [preauth]
Oct  7 23:27:21 GNU-HOME sshd[27513]: pam_unix(sshd:auth): check pass; user unknown
Oct  7 23:27:21 GNU-HOME sshd[27513]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.154.201.42
Oct  7 23:27:23 GNU-HOME sshd[27513]: Failed password for invalid user test from 211.154.201.42 port 60344 ssh2
Oct  7 23:27:24 GNU-HOME sshd[27513]: Received disconnect from 211.154.201.42: 11: Bye Bye [preauth]
[свернуть]
Открыть содержимое (спойлер)

Sep 30 12:29:26 GNU-HOME sshd[7962]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.6.145.5  user=root
Sep 30 12:29:29 GNU-HOME sshd[7962]: Failed password for root from 218.6.145.5 port 39545 ssh2
Sep 30 12:29:29 GNU-HOME sshd[7962]: Connection closed by 218.6.145.5 [preauth]
[свернуть]
Открыть содержимое (спойлер)

Sep 30 17:53:00 GNU-HOME sshd[5064]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.188.3.56  user=root
Sep 30 17:53:02 GNU-HOME sshd[5064]: Failed password for root from 119.188.3.56 port 53511 ssh2
Sep 30 17:53:03 GNU-HOME sshd[5064]: Received disconnect from 119.188.3.56: 11: Bye Bye [preauth]
[свернуть]
SSH не пользуюсь (пока) и не настраивал. Это чем-то грозит (что он не настроен)? Вообще какие-то меры принимать следует в такой ситуации?
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M

gardarea51

Ну он же вроде таймаут выставляет. Запретите вход от root, разрешите только от определенного пользователя. Там может быть есть возможность указать количество попыток и таймаут (не помню уже, но наверное должно быть). Измените умолчальный порт на к примеру 222. И если не используете сервис - отключите его пока, зачем ему слушать сеть.

vladimir_ar

Пока да - ssh выгрузил. Но собираюсь его поднять со временем, чтобы на домашний ящик можно было заходить. Интересовало, что при не настроенном ssh (по умолчанию установлен и демон запускается) это чем-то грозит (в ssh, по идее, никаких настроек и он никого не должен пустить)?

И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M

Angel_ok

Цитата: vladimir_ar от 08 октября 2012, 14:01:05И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.
Ничего себе.
Это домашний компьютер или сервер какой?
Вы думаете, всё так просто? Да, всё просто. Но совсем не так...
                                                                                                          Альберт Эйнштейн

Malaheenee

vladimir_ar, настраивать ssh сразу же (или вовсе его не устанавливать за ненадобностью) - очень хорошая привычка. Сразу прописываете пользователя, которому "туда тоже можно", порт, запрещаете логин от рута, ограничиваете число и время попыток...
Все мы где-то, когда-то и в чем-то были новичками.

vladimir_ar

#5
Angel_ok, просто домашний комп.
Malaheenee, теперь так и сделаю (и дальше буду делать). Просто до этого как-то не задумывался. Пока убрал запуск ssh, как будет время - настрою.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M

corner

Чего переживать?
1. Исходя из логов, ни одного успешного подключения. Это просто очередные нападки китайских ботов.
Сканирование на имена root, mail и т.д. Традиционный в сети отсев "дураков". Ну как в лесу  :)
2. По умолчанию доступ root в Debian ssh и так запрещен.
3. Замена порта сегодня уже, в принципе, ничего не дает. Nmap раскусывает это дело "на раз".
4. Обычно, при грамотном использовании ssh, применяется ограничения по пользователям (IP). Придумайте для ssh "мудреного" пользователя. Ну настроить ssh получше.
5. Дополнительно защита обеспечивается несложными правилами iptables, направленными на ограничение соединений ssh.
В принципе все.
А то, что боты пытались зайти - так не зашли же?

ihammers

Цитата: vladimir_ar от 08 октября 2012, 14:01:05
Интересовало, что при не настроенном ssh (по умолчанию установлен и демон запускается) это чем-то грозит (в ssh, по идее, никаких настроек и он никого не должен пустить)?

И да - я кусочки логов выложил, а так там тысячи попыток, с перебором портов.
В принципе ничего не должно случиться, даже с базовыми настройками.  Ну если вы конечно не используете простой пароль аля qwerty или какое-нибудь слово.  А так для большего успокоения можно поставить fail2ban и банить мин на 15 после 3-х неудачных попыток входа с одного ip.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

vladimir_ar

corner, нет, не зашли. Но все же не лишне, раз уж обратил внимание, разобраться и принять меры. И спокойнее, и для себя с пользой.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M

corner

iptables -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SH_"
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT

Даже такое простенькое правило iptables, как правило, напрочь отбивает охотников вломиться. Если первая попытка прошла не удачно, то вторая попытка будёт через 60 секунд, а если и вторая провалилась - не обессудьте...

lisss

нестандартный порт и нестандартный пользователь (как написали выше, ни root, ни mail, ни совпадающий со службами) дают 100% защиту от "случайного" взлома.
от направленного взлома поможет файервол и Port Knocking (все вопросы к гуглу).

gardarea51

Можно также использовть файл ключей заместо пароля..

Washington Irving