IPB

Здравствуйте, гость ( Вход | Регистрация )

2 страниц V   1 2 >  
Ответить в данную темуНачать новую тему
> От ведь гавнюк упорный!
A.T.Tappman
сообщение 26.11.2010, 10:03
Сообщение #1


ЕРЖ-антисемит
***

Группа: Пользователи
Сообщений: 1900
Регистрация: 24.11.2009
Из: Великий Новгород
Пользователь №: 23



Лезет к мине на сервер гамно всякое, дюже упоротое:
Код
Nov 25 04:38:56 PDP sshd[5105]: Failed password for invalid user globus from 200.19.191.98 port 39961 ssh2
Nov 25 05:00:42 PDP sshd[5232]: Failed password for mysql from 200.19.191.98 port 41767 ssh2
Nov 25 05:02:52 PDP sshd[5243]: Failed password for invalid user tester from 200.19.191.98 port 56337 ssh2
Nov 25 05:24:36 PDP sshd[5354]: Failed password for invalid user college from 200.19.191.98 port 53001 ssh2
Nov 25 05:46:19 PDP sshd[5463]: Failed password for invalid user marketing from 200.19.191.98 port 48133 ssh2
Nov 25 06:08:03 PDP sshd[5584]: Failed password for invalid user sybase from 200.19.191.98 port 53337 ssh2
Nov 25 06:29:46 PDP sshd[5732]: Failed password for invalid user wwwdata from 200.19.191.98 port 54858 ssh2
Nov 25 06:51:28 PDP sshd[5976]: Failed password for invalid user install from 200.19.191.98 port 50738 ssh2
Nov 25 07:13:12 PDP sshd[6103]: Failed password for invalid user steve from 200.19.191.98 port 56991 ssh2
Nov 25 07:34:56 PDP sshd[6208]: Failed password for invalid user ftpuser from 200.19.191.98 port 42255 ssh2
Nov 25 07:56:41 PDP sshd[6312]: Failed password for root from 200.19.191.98 port 60449 ssh2
Nov 25 07:58:51 PDP sshd[6323]: Failed password for root from 200.19.191.98 port 56440 ssh2
Nov 25 08:20:36 PDP sshd[6450]: Failed password for root from 200.19.191.98 port 58289 ssh2
Nov 25 08:22:46 PDP sshd[6459]: Failed password for root from 200.19.191.98 port 44987 ssh2
Nov 25 08:44:28 PDP sshd[6563]: Failed password for invalid user vladimir from 200.19.191.98 port 52262 ssh2
Nov 25 09:06:12 PDP sshd[6680]: Failed password for invalid user virus from 200.19.191.98 port 50421 ssh2
Nov 25 09:27:57 PDP sshd[6788]: Failed password for invalid user www-admin from 200.19.191.98 port 40300 ssh2
Nov 25 09:49:42 PDP sshd[6891]: Failed password for invalid user tv from 200.19.191.98 port 60249 ssh2
Nov 25 10:11:26 PDP sshd[7138]: Failed password for invalid user calvin from 200.19.191.98 port 59364 ssh2
Nov 25 10:24:30 PDP sshd[7431]: Failed password for invalid user alex from 200.19.191.98 port 34660 ssh2
Nov 25 12:26:16 PDP sshd[8179]: Failed password for invalid user brandy from 200.19.191.98 port 57659 ssh2
Nov 25 14:28:04 PDP sshd[8759]: Failed password for invalid user kelly from 200.19.191.98 port 37099 ssh2
Nov 25 16:29:49 PDP sshd[9331]: Failed password for root from 200.19.191.98 port 41849 ssh2
Nov 25 16:31:59 PDP sshd[9341]: Failed password for root from 200.19.191.98 port 56972 ssh2
Nov 25 18:33:45 PDP sshd[9908]: Failed password for root from 200.19.191.98 port 35179 ssh2
Nov 25 18:35:53 PDP sshd[9919]: Failed password for root from 200.19.191.98 port 36488 ssh2
Nov 25 20:37:45 PDP sshd[10483]: Failed password for root from 200.19.191.98 port 60950 ssh2
Nov 25 20:39:56 PDP sshd[10501]: Failed password for root from 200.19.191.98 port 57037 ssh2
Nov 25 22:41:45 PDP sshd[11063]: Failed password for root from 200.19.191.98 port 35437 ssh2
Nov 25 22:43:54 PDP sshd[11074]: Failed password for root from 200.19.191.98 port 60383 ssh2
Nov 26 00:45:50 PDP sshd[11659]: Failed password for root from 200.19.191.98 port 43018 ssh2
Nov 26 00:47:59 PDP sshd[11670]: Failed password for root from 200.19.191.98 port 57786 ssh2
Nov 26 02:49:53 PDP sshd[12254]: Failed password for root from 200.19.191.98 port 47082 ssh2
Nov 26 02:52:03 PDP sshd[12265]: Failed password for root from 200.19.191.98 port 33650 ssh2
Nov 26 04:53:55 PDP sshd[12858]: Failed password for invalid user operator from 200.19.191.98 port 54595 ssh2
Nov 26 06:55:43 PDP sshd[13888]: Failed password for invalid user squid from 200.19.191.98 port 35816 ssh2
Nov 26 08:57:19 PDP sshd[14466]: Failed password for invalid user russ from 200.19.191.98 port 42833 ssh2
Nov 26 10:37:12 PDP sshd[15262]: Failed password for invalid user adrian from 200.19.191.98 port 36357 ssh2


Сначала банилось на 20 минут, оно лезет. Потом на 2 часа, оно опять лезет. Сейчас бан на 6 часов выставлен. Чего бы ему такого гадостного сделать, шоб отстал?
Перейти в начало страницы
 
+Цитировать сообщение
Гость_MrYuran_*
сообщение 26.11.2010, 10:48
Сообщение #2





Гости






Цитата(Огурцов @ 26.11.2010, 11:16) *
Дыкть, оно может быть и не знает, что лезет. Написать/позвонить ?

У нас на радиофаке, когда учился, байку рассказывали, как админ, заметив подозрительную возню, сделал редирект обратно.
Через полчаса получил от какого-то итальянского админа гневное письмо, а потом они полчаса мило беседовали на ломаном английском по тематике сетевой безопасности
Перейти в начало страницы
 
+Цитировать сообщение
A.T.Tappman
сообщение 26.11.2010, 13:07
Сообщение #3


ЕРЖ-антисемит
***

Группа: Пользователи
Сообщений: 1900
Регистрация: 24.11.2009
Из: Великий Новгород
Пользователь №: 23



Цитата(MrYuran @ 26.11.2010, 11:48) *
У нас на радиофаке, когда учился, байку рассказывали, как админ, заметив подозрительную возню, сделал редирект обратно.
Через полчаса получил от какого-то итальянского админа гневное письмо, а потом они полчаса мило беседовали на ломаном английском по тематике сетевой безопасности

О! А как такое в линухе сотворить?
Перейти в начало страницы
 
+Цитировать сообщение
Гость_MrYuran_*
сообщение 26.11.2010, 13:26
Сообщение #4





Гости






Цитата(A.T.Tappman @ 26.11.2010, 14:07) *
О! А как такое в линухе сотворить?

pardon.gif
Типа, у каждого пакета поменять адрес отправителя и получателя smile.gif
Перейти в начало страницы
 
+Цитировать сообщение
A.T.Tappman
сообщение 26.11.2010, 13:57
Сообщение #5


ЕРЖ-антисемит
***

Группа: Пользователи
Сообщений: 1900
Регистрация: 24.11.2009
Из: Великий Новгород
Пользователь №: 23



Цитата(MrYuran @ 26.11.2010, 14:26) *
pardon.gif
Типа, у каждого пакета поменять адрес отправителя и получателя smile.gif

Осталось узнать, как iptables'ом такое сделать.
Перейти в начало страницы
 
+Цитировать сообщение
?ELF
сообщение 26.11.2010, 18:20
Сообщение #6


шаражник по жизни, рядовой
***

Группа: недомод :)
Сообщений: 5484
Регистрация: 24.11.2009
Из: Россия, Челябинская область
Пользователь №: 26



А доступ к компу из Инета по ssh нужен?

1) Самое простое/надёжно-дубовое -- отключить прослушивание на внешнем интерфейсе и оставить только на внутреннем.
Цитата
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
ListenAddress 192.168.1.xxx


Если, всё же, надо снаружи на ту машинку ходить, то навскидку вижу три варианта.

2) силами самого ssh-демона
Настройки в /etc/ssh/sshd_config

2.1) изменить порт на какой-нибудь нестандартный (чем выше, тем спокойнее)
Цитата
# What ports, IPs and protocols we listen for
#Port 22
Port 2222


2.2) разрешаем кому можно, а кому нельзя
Цитата
AllowUsers Tappman@*
AllowUsers *@192.168.1.*
AllowUsers *@xxx.xxx.xxx.*

Вместо xxx -- адреса предполагаемых провайдеров, из сетей которых будем ломиться на домашний сервак.

3) через конфиг-файлы в /etc
Цитата
/etc/hosts.allow
Код
sshd: <allowed_ip>

Цитата
/etc/hosts.deny
Код
sshd: ALL


4) с помощью iptables
Цитата
ACCEPT tcp -- <allowed_ip> <router_ip> tcp dpt:22
ACCEPT tcp -- <allowed_ip> <router_ip> tcp dpt:22
DROP tcp -- 0.0.0.0/0 <router_ip> tcp dpt:22

Опять же, плюсом к этому, можно и порт нестандартный выставить.
Например, 2222.

---
Однако, бразильские мачо тебя сканят.
Цитата
Hostname

oros.cenapadne.br
IP: 200.19.191.98
Preferable MX: oros.cenapadne.br

Domain Information

Имя: cenapadne.br
Владелец: Centro Nac. de Processam. de Alto Desemp. no Nord. (7599)

В Бразилии же много... smile.gif
Меня некогда китайцы дюже донимали и разные европейские телекомы (в основном, французы и немцы).
Перейти в начало страницы
 
+Цитировать сообщение
A.T.Tappman
сообщение 26.11.2010, 18:37
Сообщение #7


ЕРЖ-антисемит
***

Группа: Пользователи
Сообщений: 1900
Регистрация: 24.11.2009
Из: Великий Новгород
Пользователь №: 23



Порт и так совсем нестандартный стоит. Однако, нашёл-таки, козья морда. Вход разрешён только одному юзеру, который нихрена не рут. Нашёл весьма занятную штуковину для iptables под названием TARPIT.
Цитата
Расширение TARPIT представляет собой эквивалент ловушки -- попавшему в нее не удастся быстро выбраться на свободу. Если вы были настолько неблагоразумны, что попытались установить соединение с портом-ловушкой, то обнаружите, что закрыть такое соединение (и освободить тем самым системные ресурсы) не так-то просто.
Чтобы добиться такого эффекта, iptables подтверждает запрос на TCP/IP соединение и устанавливает размер окна равным нулю, что вынуждает атакующую систему прекратить передачу данных -- очень напоминает нажатие комбинации Ctrl+S в терминале. Любые попытки атакующего закрыть соединение игнорируются, таким образом соединение остается открытым, пока не истечет срок тайм аута (обычно 12-24 минуты), что в свою очередь приводит к расходу системных ресурсов атакующей системы (но не системы-ловушки).

Только одна проблема. В ядре этого расширения нету, а самая свежая версия есть для весьма старого ядра.
Перейти в начало страницы
 
+Цитировать сообщение
?ELF
сообщение 26.11.2010, 19:19
Сообщение #8


шаражник по жизни, рядовой
***

Группа: недомод :)
Сообщений: 5484
Регистрация: 24.11.2009
Из: Россия, Челябинская область
Пользователь №: 26



Цитата(A.T.Tappman @ 26.11.2010, 21:37) *
Порт и так совсем нестандартный стоит. Однако, нашёл-таки, козья морда. Вход разрешён только одному юзеру, который нихрена не рут. Нашёл весьма занятную штуковину для iptables под названием TARPIT.

Только одна проблема. В ядре этого расширения нету, а самая свежая версия есть для весьма старого ядра.

А... мля... невнимательный я.
Увидел "Failed password for invalid user" и автоматом решил, что на стандартный ssh порт какой-то обычный скан-бот ломится.

TARPIT -- интересная идея.
Не пробовал такую штуковину (не слышал даже).
Чем-то мне это напоминает возможности FreeBSD-шной "виртуалки" jail.

iptables использую по минимуму, поэтому здесь я "пас".
Такого уровня конторские задачи решаются с помощью Cisco, а дома примитивного REJECT-а хватает и отключения прослушивания на внешнем интерфейсе.
Задачи у меня пока такой не было -- ломиться снаружи в домашнюю сетку через роутер.

Сегодня проще организовать доступ через ssh-туннели по примерно такой схеме -- заходим по туннелю в "песочницу", из той песочницы коннектимся на строго определённый хост, на строго определённый порт, а уже с того хоста получаем доступ в локальную сеть.
И пофиг, если даже кто-то умудрится в песочницу забраться.

---
Может, в эту сторону покопать?
RSBAC
Перейти в начало страницы
 
+Цитировать сообщение
A.T.Tappman
сообщение 26.11.2010, 22:48
Сообщение #9


ЕРЖ-антисемит
***

Группа: Пользователи
Сообщений: 1900
Регистрация: 24.11.2009
Из: Великий Новгород
Пользователь №: 23



Гы! Поставил TARPIT. Таперича бы найти кого, кто проверить рискнёт.
Перейти в начало страницы
 
+Цитировать сообщение
?ELF
сообщение 27.11.2010, 12:10
Сообщение #10


шаражник по жизни, рядовой
***

Группа: недомод :)
Сообщений: 5484
Регистрация: 24.11.2009
Из: Россия, Челябинская область
Пользователь №: 26



Цитата(A.T.Tappman @ 27.11.2010, 1:48) *
Гы! Поставил TARPIT. Таперича бы найти кого, кто проверить рискнёт.

Интересно как эту штука проявляется на стороне любопытного исследователя чужих сетей.
Мож, мне попробовать на твой роутер ломануться со своего WL500-W?

---
Кстати, вчера что-то не сообразил.
Этот любопытный тычется к тебе по login/pass.
Может, вполне будет достаточно сгенерить себе RSA-ключик и раскомментировать строку в sshd_config

# PasswordAuthentication yes
изменив на
PasswordAuthentication no

И пускай тогда он тычется до посинения.
Рано или поздно потеряет интерес.
Перейти в начало страницы
 
+Цитировать сообщение
A.T.Tappman
сообщение 27.11.2010, 12:35
Сообщение #11


ЕРЖ-антисемит
***

Группа: Пользователи
Сообщений: 1900
Регистрация: 24.11.2009
Из: Великий Новгород
Пользователь №: 23



Вход по ключу у меня задействован. Только не со всех машин получится по ключу входить, ибо, как я понимаю, ключ генерится для каждого компа, с которого вход осуществляется.
Перейти в начало страницы
 
+Цитировать сообщение
?ELF
сообщение 27.11.2010, 13:00
Сообщение #12


шаражник по жизни, рядовой
***

Группа: недомод :)
Сообщений: 5484
Регистрация: 24.11.2009
Из: Россия, Челябинская область
Пользователь №: 26



Цитата(A.T.Tappman @ 27.11.2010, 15:35) *
Вход по ключу у меня задействован. Только не со всех машин получится по ключу входить, ибо, как я понимаю, ключ генерится для каждого компа, с которого вход осуществляется.

Не обязательно.
Ключ можно один использовать.
Главное его с собой таскать или на все машины разбросать.

Можно ещё доступ по одноразовым паролям замутить.
Перейти в начало страницы
 
+Цитировать сообщение
A.T.Tappman
сообщение 27.11.2010, 15:18
Сообщение #13


ЕРЖ-антисемит
***

Группа: Пользователи
Сообщений: 1900
Регистрация: 24.11.2009
Из: Великий Новгород
Пользователь №: 23



Да вот чего-то не работает с ключами. С домашней машины (Ubuntu 10.04) по ключам нормально заходит на сервер, а с работы из-под венды никак не желает. Подсовываю Putty ключ, но при подключении к серверу выдаётся ругань, что ключевой файл какбэ неправильный.
Перейти в начало страницы
 
+Цитировать сообщение
?ELF
сообщение 27.11.2010, 22:53
Сообщение #14


шаражник по жизни, рядовой
***

Группа: недомод :)
Сообщений: 5484
Регистрация: 24.11.2009
Из: Россия, Челябинская область
Пользователь №: 26



Цитата(A.T.Tappman @ 27.11.2010, 18:18) *
Да вот чего-то не работает с ключами. С домашней машины (Ubuntu 10.04) по ключам нормально заходит на сервер, а с работы из-под венды никак не желает. Подсовываю Putty ключ, но при подключении к серверу выдаётся ругань, что ключевой файл какбэ неправильный.

Понятный момент.

Со свадьбы сына друга только что вернулся...
Завтра докуём...

Скорее всего, там конфиг sshd_config на серваке рихтовать надо под эту тему -- для подключения с одним ключом к различным сервакам и для подлючения к одному серваку с одним ключом из различных мест.

Сообщение отредактировал ?ELF - 29.11.2010, 5:26
Причина редактирования: Удалил бред пьяного человечка ;)
Перейти в начало страницы
 
+Цитировать сообщение
?ELF
сообщение 29.11.2010, 18:08
Сообщение #15


шаражник по жизни, рядовой
***

Группа: недомод :)
Сообщений: 5484
Регистрация: 24.11.2009
Из: Россия, Челябинская область
Пользователь №: 26



Понял откуда траблы.

Ключ генерился на линуксовой машине с помощью ssh-keygen из комплекта OpenSSH?
Судя по всему, да.
Т.к., линуксовая машина авторизуется без проблем.
А PuTTY этот формат не понимает.
Надо тот линуксовый приватный ключик сконвертить в понятный PuTTY формат с помощью PUTTYGEN.EXE и сохранить его в файл *.ppk
Тогда всё будет пучком и с виндовых машин и с линуксовых (для линуксовых, само собой, оставить их родной формат).

---
Хых, блин.
За всё время работы ни разу такой ситуации не было по "пересечению" таких ключиков.
Перейти в начало страницы
 
+Цитировать сообщение
A.T.Tappman
сообщение 29.11.2010, 18:18
Сообщение #16


ЕРЖ-антисемит
***

Группа: Пользователи
Сообщений: 1900
Регистрация: 24.11.2009
Из: Великий Новгород
Пользователь №: 23



Цитата(?ELF @ 29.11.2010, 19:08) *
Понял откуда траблы.
Ключ генерился на линуксовой машине с помощью ssh-keygen из комплекта OpenSSH?

Ага. Так оно и есть. Попробую завтра на работе ключи конвертнуть.
Перейти в начало страницы
 
+Цитировать сообщение
?ELF
сообщение 15.12.2010, 17:18
Сообщение #17


шаражник по жизни, рядовой
***

Группа: недомод :)
Сообщений: 5484
Регистрация: 24.11.2009
Из: Россия, Челябинская область
Пользователь №: 26



По истечении срока действия соглашения о неразглашении, прошла сдача.
Не выдержал молчания человек.
Цитата
http://open.cnews.ru/news/top/index.shtml?2010/12/15/420175

15.12.10, Ср, 15:54, Мск

Основатель OpenBSD Тео де Раадта опубликовал письмо, в котором сообщается о закладках, внесенных ФБР в исходные коды OpenBSD 10 лет назад.
Это может существенно ударить по престижу OpenBSD, которая традиционно считается самой безопасной системой с открытым кодом.

“Утверждается, что некоторые из бывших разработчиков (а также их работодатели) получили деньги от американского правительства на то, чтобы поместить закладки в наш сетевой стэк, в частности – в стэк IPSEC. [Это произошло] где-то в 2000-2001 году”, – резюмирует полученные сведенния Тео де Раадт.

Однако если американские военные отказывались от внедрения OpenBSD из-за присутствия в нем закладок ФБР, то ФБР наборот – всеми силами продвигали эту систему: “И, вероятно, именно по этой причине некоторые люди в ФБР в последнее время выступали за использование OpenBSD для созданичя VPN и межсетвых экранов в виртуализованных средах”, – пишет корреспондент Тео де Раадта.

Остаётся ещё дождаться откровений по OpenSSH. biggrin.gif
Цитата
http://ru.wikipedia.org/wiki/Sshd

OpenSSH (открытая безопасная оболочка) — набор программ, предоставляющих шифрование сеансов связи по компьютерным сетям с использованием протокола SSH. Он был создан под руководством Teo de Raadt (Тэо де Раадт) как открытая альтернатива проприетарного ПО от SSH Communications Security.

OpenSSH был создан командой OpenBSD как альтернатива SSH, который все еще является проприетарным ПО. Разработчики OpenSSH утверждают, что он более безопасен чем оригинальный Secure Shell, благодаря их политике чистки и аудита кода. Хотя исходный код также доступен для оригинального SSH, различные ограничения, накладываемые на его использование, делают OpenSSH более привлекательным проектом для большинства программистов.

OpenSSH впервые появился в OpenBSD 2.6.
Перейти в начало страницы
 
+Цитировать сообщение
?ELF
сообщение 15.12.2010, 19:17
Сообщение #18


шаражник по жизни, рядовой
***

Группа: недомод :)
Сообщений: 5484
Регистрация: 24.11.2009
Из: Россия, Челябинская область
Пользователь №: 26



Цитата(Огурцов @ 15.12.2010, 21:28) *
Ну мы же взрослые люди rofl.gif

О то ж.
Порой, седой безопасник с сердитым взглядом может оказаться лучше любого файервола. biggrin.gif

---
Побольше надо людям доверять и поменьше технике разной.
Т.к., во-первых "код человека" и мотивы его поведения до сих пор "в цифру" не переложены.
А, во-вторых, человек смертен по натуре своей... smile.gif
"Нет человека -- нет проблемы" ©
Перейти в начало страницы
 
+Цитировать сообщение
?ELF
сообщение 21.12.2010, 17:48
Сообщение #19


шаражник по жизни, рядовой
***

Группа: недомод :)
Сообщений: 5484
Регистрация: 24.11.2009
Из: Россия, Челябинская область
Пользователь №: 26



О, сукОта! Стоило только прова сменить, как тут же потычкИ объявились.
Код
Dec 21 09:45:55 vsftpd[445]: CONNECT: Client "222.175.61.187"
Dec 21 09:45:56 vsftpd[444]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187"
Dec 21 09:45:57 vsftpd[444]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187"
Dec 21 09:45:59 vsftpd[444]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187"
Dec 21 09:46:01 vsftpd[447]: CONNECT: Client "222.175.61.187"
Dec 21 09:46:02 vsftpd[446]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187"
Dec 21 09:46:03 vsftpd[446]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187"
Dec 21 09:46:05 vsftpd[446]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187"
Dec 21 09:46:10 vsftpd[449]: CONNECT: Client "222.175.61.187"
Dec 21 09:46:11 vsftpd[448]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187"
Dec 21 09:46:13 vsftpd[448]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187"
Dec 21 09:46:14 vsftpd[448]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187"

Правда, пока безобидные китайцы тычутся из-под винды.
Пускай потычутся.
Редирект, один хер, отключен.

---
Кирилл, а TARPIT в исходниках тебе нигде не встречался?
Перейти в начало страницы
 
+Цитировать сообщение
A.T.Tappman
сообщение 21.12.2010, 21:47
Сообщение #20


ЕРЖ-антисемит
***

Группа: Пользователи
Сообщений: 1900
Регистрация: 24.11.2009
Из: Великий Новгород
Пользователь №: 23



Цитата(?ELF @ 21.12.2010, 18:48) *
Кирилл, а TARPIT в исходниках тебе нигде не встречался?

Не, он сторонним пакетом ставится, но вроде как просто и без бубна.
http://agapoff.name/memento-mori-iptables.html
http://welinux.ru/post/730/
Перейти в начало страницы
 
+Цитировать сообщение

2 страниц V   1 2 >
Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 28.3.2024, 21:28