От ведь гавнюк упорный! |
Здравствуйте, гость ( Вход | Регистрация )
От ведь гавнюк упорный! |
26.11.2010, 10:03
Сообщение
#1
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
Лезет к мине на сервер гамно всякое, дюже упоротое:
Код Nov 25 04:38:56 PDP sshd[5105]: Failed password for invalid user globus from 200.19.191.98 port 39961 ssh2 Nov 25 05:00:42 PDP sshd[5232]: Failed password for mysql from 200.19.191.98 port 41767 ssh2 Nov 25 05:02:52 PDP sshd[5243]: Failed password for invalid user tester from 200.19.191.98 port 56337 ssh2 Nov 25 05:24:36 PDP sshd[5354]: Failed password for invalid user college from 200.19.191.98 port 53001 ssh2 Nov 25 05:46:19 PDP sshd[5463]: Failed password for invalid user marketing from 200.19.191.98 port 48133 ssh2 Nov 25 06:08:03 PDP sshd[5584]: Failed password for invalid user sybase from 200.19.191.98 port 53337 ssh2 Nov 25 06:29:46 PDP sshd[5732]: Failed password for invalid user wwwdata from 200.19.191.98 port 54858 ssh2 Nov 25 06:51:28 PDP sshd[5976]: Failed password for invalid user install from 200.19.191.98 port 50738 ssh2 Nov 25 07:13:12 PDP sshd[6103]: Failed password for invalid user steve from 200.19.191.98 port 56991 ssh2 Nov 25 07:34:56 PDP sshd[6208]: Failed password for invalid user ftpuser from 200.19.191.98 port 42255 ssh2 Nov 25 07:56:41 PDP sshd[6312]: Failed password for root from 200.19.191.98 port 60449 ssh2 Nov 25 07:58:51 PDP sshd[6323]: Failed password for root from 200.19.191.98 port 56440 ssh2 Nov 25 08:20:36 PDP sshd[6450]: Failed password for root from 200.19.191.98 port 58289 ssh2 Nov 25 08:22:46 PDP sshd[6459]: Failed password for root from 200.19.191.98 port 44987 ssh2 Nov 25 08:44:28 PDP sshd[6563]: Failed password for invalid user vladimir from 200.19.191.98 port 52262 ssh2 Nov 25 09:06:12 PDP sshd[6680]: Failed password for invalid user virus from 200.19.191.98 port 50421 ssh2 Nov 25 09:27:57 PDP sshd[6788]: Failed password for invalid user www-admin from 200.19.191.98 port 40300 ssh2 Nov 25 09:49:42 PDP sshd[6891]: Failed password for invalid user tv from 200.19.191.98 port 60249 ssh2 Nov 25 10:11:26 PDP sshd[7138]: Failed password for invalid user calvin from 200.19.191.98 port 59364 ssh2 Nov 25 10:24:30 PDP sshd[7431]: Failed password for invalid user alex from 200.19.191.98 port 34660 ssh2 Nov 25 12:26:16 PDP sshd[8179]: Failed password for invalid user brandy from 200.19.191.98 port 57659 ssh2 Nov 25 14:28:04 PDP sshd[8759]: Failed password for invalid user kelly from 200.19.191.98 port 37099 ssh2 Nov 25 16:29:49 PDP sshd[9331]: Failed password for root from 200.19.191.98 port 41849 ssh2 Nov 25 16:31:59 PDP sshd[9341]: Failed password for root from 200.19.191.98 port 56972 ssh2 Nov 25 18:33:45 PDP sshd[9908]: Failed password for root from 200.19.191.98 port 35179 ssh2 Nov 25 18:35:53 PDP sshd[9919]: Failed password for root from 200.19.191.98 port 36488 ssh2 Nov 25 20:37:45 PDP sshd[10483]: Failed password for root from 200.19.191.98 port 60950 ssh2 Nov 25 20:39:56 PDP sshd[10501]: Failed password for root from 200.19.191.98 port 57037 ssh2 Nov 25 22:41:45 PDP sshd[11063]: Failed password for root from 200.19.191.98 port 35437 ssh2 Nov 25 22:43:54 PDP sshd[11074]: Failed password for root from 200.19.191.98 port 60383 ssh2 Nov 26 00:45:50 PDP sshd[11659]: Failed password for root from 200.19.191.98 port 43018 ssh2 Nov 26 00:47:59 PDP sshd[11670]: Failed password for root from 200.19.191.98 port 57786 ssh2 Nov 26 02:49:53 PDP sshd[12254]: Failed password for root from 200.19.191.98 port 47082 ssh2 Nov 26 02:52:03 PDP sshd[12265]: Failed password for root from 200.19.191.98 port 33650 ssh2 Nov 26 04:53:55 PDP sshd[12858]: Failed password for invalid user operator from 200.19.191.98 port 54595 ssh2 Nov 26 06:55:43 PDP sshd[13888]: Failed password for invalid user squid from 200.19.191.98 port 35816 ssh2 Nov 26 08:57:19 PDP sshd[14466]: Failed password for invalid user russ from 200.19.191.98 port 42833 ssh2 Nov 26 10:37:12 PDP sshd[15262]: Failed password for invalid user adrian from 200.19.191.98 port 36357 ssh2 Сначала банилось на 20 минут, оно лезет. Потом на 2 часа, оно опять лезет. Сейчас бан на 6 часов выставлен. Чего бы ему такого гадостного сделать, шоб отстал? |
|
|
Гость_MrYuran_* |
26.11.2010, 10:48
Сообщение
#2
|
Гости |
Дыкть, оно может быть и не знает, что лезет. Написать/позвонить ? У нас на радиофаке, когда учился, байку рассказывали, как админ, заметив подозрительную возню, сделал редирект обратно. Через полчаса получил от какого-то итальянского админа гневное письмо, а потом они полчаса мило беседовали на ломаном английском по тематике сетевой безопасности |
|
|
26.11.2010, 13:07
Сообщение
#3
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
У нас на радиофаке, когда учился, байку рассказывали, как админ, заметив подозрительную возню, сделал редирект обратно. Через полчаса получил от какого-то итальянского админа гневное письмо, а потом они полчаса мило беседовали на ломаном английском по тематике сетевой безопасности О! А как такое в линухе сотворить? |
|
|
Гость_MrYuran_* |
26.11.2010, 13:26
Сообщение
#4
|
Гости |
|
|
|
26.11.2010, 13:57
Сообщение
#5
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
|
|
|
26.11.2010, 18:20
Сообщение
#6
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
А доступ к компу из Инета по ssh нужен?
1) Самое простое/надёжно-дубовое -- отключить прослушивание на внешнем интерфейсе и оставить только на внутреннем. Цитата # Use these options to restrict which interfaces/protocols sshd will bind to #ListenAddress :: #ListenAddress 0.0.0.0 ListenAddress 192.168.1.xxx Если, всё же, надо снаружи на ту машинку ходить, то навскидку вижу три варианта. 2) силами самого ssh-демона Настройки в /etc/ssh/sshd_config 2.1) изменить порт на какой-нибудь нестандартный (чем выше, тем спокойнее) Цитата # What ports, IPs and protocols we listen for #Port 22 Port 2222 2.2) разрешаем кому можно, а кому нельзя Цитата AllowUsers Tappman@* AllowUsers *@192.168.1.* AllowUsers *@xxx.xxx.xxx.* Вместо xxx -- адреса предполагаемых провайдеров, из сетей которых будем ломиться на домашний сервак. 3) через конфиг-файлы в /etc Цитата /etc/hosts.allow Код sshd: <allowed_ip> Цитата /etc/hosts.deny Код sshd: ALL 4) с помощью iptables Цитата ACCEPT tcp -- <allowed_ip> <router_ip> tcp dpt:22 ACCEPT tcp -- <allowed_ip> <router_ip> tcp dpt:22 DROP tcp -- 0.0.0.0/0 <router_ip> tcp dpt:22 Опять же, плюсом к этому, можно и порт нестандартный выставить. Например, 2222. --- Однако, бразильские мачо тебя сканят. Цитата Hostname oros.cenapadne.br IP: 200.19.191.98 Preferable MX: oros.cenapadne.br Domain Information Имя: cenapadne.br Владелец: Centro Nac. de Processam. de Alto Desemp. no Nord. (7599) В Бразилии же много... Меня некогда китайцы дюже донимали и разные европейские телекомы (в основном, французы и немцы). |
|
|
26.11.2010, 18:37
Сообщение
#7
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
Порт и так совсем нестандартный стоит. Однако, нашёл-таки, козья морда. Вход разрешён только одному юзеру, который нихрена не рут. Нашёл весьма занятную штуковину для iptables под названием TARPIT.
Цитата Расширение TARPIT представляет собой эквивалент ловушки -- попавшему в нее не удастся быстро выбраться на свободу. Если вы были настолько неблагоразумны, что попытались установить соединение с портом-ловушкой, то обнаружите, что закрыть такое соединение (и освободить тем самым системные ресурсы) не так-то просто. Чтобы добиться такого эффекта, iptables подтверждает запрос на TCP/IP соединение и устанавливает размер окна равным нулю, что вынуждает атакующую систему прекратить передачу данных -- очень напоминает нажатие комбинации Ctrl+S в терминале. Любые попытки атакующего закрыть соединение игнорируются, таким образом соединение остается открытым, пока не истечет срок тайм аута (обычно 12-24 минуты), что в свою очередь приводит к расходу системных ресурсов атакующей системы (но не системы-ловушки). Только одна проблема. В ядре этого расширения нету, а самая свежая версия есть для весьма старого ядра. |
|
|
26.11.2010, 19:19
Сообщение
#8
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
Порт и так совсем нестандартный стоит. Однако, нашёл-таки, козья морда. Вход разрешён только одному юзеру, который нихрена не рут. Нашёл весьма занятную штуковину для iptables под названием TARPIT. Только одна проблема. В ядре этого расширения нету, а самая свежая версия есть для весьма старого ядра. А... мля... невнимательный я. Увидел "Failed password for invalid user" и автоматом решил, что на стандартный ssh порт какой-то обычный скан-бот ломится. TARPIT -- интересная идея. Не пробовал такую штуковину (не слышал даже). Чем-то мне это напоминает возможности FreeBSD-шной "виртуалки" jail. iptables использую по минимуму, поэтому здесь я "пас". Такого уровня конторские задачи решаются с помощью Cisco, а дома примитивного REJECT-а хватает и отключения прослушивания на внешнем интерфейсе. Задачи у меня пока такой не было -- ломиться снаружи в домашнюю сетку через роутер. Сегодня проще организовать доступ через ssh-туннели по примерно такой схеме -- заходим по туннелю в "песочницу", из той песочницы коннектимся на строго определённый хост, на строго определённый порт, а уже с того хоста получаем доступ в локальную сеть. И пофиг, если даже кто-то умудрится в песочницу забраться. --- Может, в эту сторону покопать? RSBAC |
|
|
26.11.2010, 22:48
Сообщение
#9
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
Гы! Поставил TARPIT. Таперича бы найти кого, кто проверить рискнёт.
|
|
|
27.11.2010, 12:10
Сообщение
#10
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
Гы! Поставил TARPIT. Таперича бы найти кого, кто проверить рискнёт. Интересно как эту штука проявляется на стороне любопытного исследователя чужих сетей. Мож, мне попробовать на твой роутер ломануться со своего WL500-W? --- Кстати, вчера что-то не сообразил. Этот любопытный тычется к тебе по login/pass. Может, вполне будет достаточно сгенерить себе RSA-ключик и раскомментировать строку в sshd_config # PasswordAuthentication yes изменив на PasswordAuthentication no И пускай тогда он тычется до посинения. Рано или поздно потеряет интерес. |
|
|
27.11.2010, 12:35
Сообщение
#11
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
Вход по ключу у меня задействован. Только не со всех машин получится по ключу входить, ибо, как я понимаю, ключ генерится для каждого компа, с которого вход осуществляется.
|
|
|
27.11.2010, 13:00
Сообщение
#12
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
Вход по ключу у меня задействован. Только не со всех машин получится по ключу входить, ибо, как я понимаю, ключ генерится для каждого компа, с которого вход осуществляется. Не обязательно. Ключ можно один использовать. Главное его с собой таскать или на все машины разбросать. Можно ещё доступ по одноразовым паролям замутить. |
|
|
27.11.2010, 15:18
Сообщение
#13
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
Да вот чего-то не работает с ключами. С домашней машины (Ubuntu 10.04) по ключам нормально заходит на сервер, а с работы из-под венды никак не желает. Подсовываю Putty ключ, но при подключении к серверу выдаётся ругань, что ключевой файл какбэ неправильный.
|
|
|
27.11.2010, 22:53
Сообщение
#14
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
Да вот чего-то не работает с ключами. С домашней машины (Ubuntu 10.04) по ключам нормально заходит на сервер, а с работы из-под венды никак не желает. Подсовываю Putty ключ, но при подключении к серверу выдаётся ругань, что ключевой файл какбэ неправильный. Понятный момент. Со свадьбы сына друга только что вернулся... Завтра докуём... Скорее всего, там конфиг sshd_config на серваке рихтовать надо под эту тему -- для подключения с одним ключом к различным сервакам и для подлючения к одному серваку с одним ключом из различных мест. Сообщение отредактировал ?ELF - 29.11.2010, 5:26
Причина редактирования: Удалил бред пьяного человечка ;)
|
|
|
29.11.2010, 18:08
Сообщение
#15
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
Понял откуда траблы.
Ключ генерился на линуксовой машине с помощью ssh-keygen из комплекта OpenSSH? Судя по всему, да. Т.к., линуксовая машина авторизуется без проблем. А PuTTY этот формат не понимает. Надо тот линуксовый приватный ключик сконвертить в понятный PuTTY формат с помощью PUTTYGEN.EXE и сохранить его в файл *.ppk Тогда всё будет пучком и с виндовых машин и с линуксовых (для линуксовых, само собой, оставить их родной формат). --- Хых, блин. За всё время работы ни разу такой ситуации не было по "пересечению" таких ключиков. |
|
|
29.11.2010, 18:18
Сообщение
#16
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
|
|
|
15.12.2010, 17:18
Сообщение
#17
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
По истечении срока действия соглашения о неразглашении, прошла сдача.
Не выдержал молчания человек. Цитата http://open.cnews.ru/news/top/index.shtml?2010/12/15/420175 15.12.10, Ср, 15:54, Мск Основатель OpenBSD Тео де Раадта опубликовал письмо, в котором сообщается о закладках, внесенных ФБР в исходные коды OpenBSD 10 лет назад. Это может существенно ударить по престижу OpenBSD, которая традиционно считается самой безопасной системой с открытым кодом. “Утверждается, что некоторые из бывших разработчиков (а также их работодатели) получили деньги от американского правительства на то, чтобы поместить закладки в наш сетевой стэк, в частности – в стэк IPSEC. [Это произошло] где-то в 2000-2001 году”, – резюмирует полученные сведенния Тео де Раадт. Однако если американские военные отказывались от внедрения OpenBSD из-за присутствия в нем закладок ФБР, то ФБР наборот – всеми силами продвигали эту систему: “И, вероятно, именно по этой причине некоторые люди в ФБР в последнее время выступали за использование OpenBSD для созданичя VPN и межсетвых экранов в виртуализованных средах”, – пишет корреспондент Тео де Раадта. Остаётся ещё дождаться откровений по OpenSSH. Цитата http://ru.wikipedia.org/wiki/Sshd
OpenSSH (открытая безопасная оболочка) — набор программ, предоставляющих шифрование сеансов связи по компьютерным сетям с использованием протокола SSH. Он был создан под руководством Teo de Raadt (Тэо де Раадт) как открытая альтернатива проприетарного ПО от SSH Communications Security. OpenSSH был создан командой OpenBSD как альтернатива SSH, который все еще является проприетарным ПО. Разработчики OpenSSH утверждают, что он более безопасен чем оригинальный Secure Shell, благодаря их политике чистки и аудита кода. Хотя исходный код также доступен для оригинального SSH, различные ограничения, накладываемые на его использование, делают OpenSSH более привлекательным проектом для большинства программистов. OpenSSH впервые появился в OpenBSD 2.6. |
|
|
15.12.2010, 19:17
Сообщение
#18
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
Ну мы же взрослые люди О то ж. Порой, седой безопасник с сердитым взглядом может оказаться лучше любого файервола. --- Побольше надо людям доверять и поменьше технике разной. Т.к., во-первых "код человека" и мотивы его поведения до сих пор "в цифру" не переложены. А, во-вторых, человек смертен по натуре своей... "Нет человека -- нет проблемы" © |
|
|
21.12.2010, 17:48
Сообщение
#19
|
|
шаражник по жизни, рядовой Группа: недомод :) Сообщений: 5484 Регистрация: 24.11.2009 Из: Россия, Челябинская область Пользователь №: 26 |
О, сукОта! Стоило только прова сменить, как тут же потычкИ объявились.
Код Dec 21 09:45:55 vsftpd[445]: CONNECT: Client "222.175.61.187" Dec 21 09:45:56 vsftpd[444]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187" Dec 21 09:45:57 vsftpd[444]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187" Dec 21 09:45:59 vsftpd[444]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187" Dec 21 09:46:01 vsftpd[447]: CONNECT: Client "222.175.61.187" Dec 21 09:46:02 vsftpd[446]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187" Dec 21 09:46:03 vsftpd[446]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187" Dec 21 09:46:05 vsftpd[446]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187" Dec 21 09:46:10 vsftpd[449]: CONNECT: Client "222.175.61.187" Dec 21 09:46:11 vsftpd[448]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187" Dec 21 09:46:13 vsftpd[448]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187" Dec 21 09:46:14 vsftpd[448]: [tsinternetuser] FAIL LOGIN: Client "222.175.61.187" Правда, пока безобидные китайцы тычутся из-под винды. Пускай потычутся. Редирект, один хер, отключен. --- Кирилл, а TARPIT в исходниках тебе нигде не встречался? |
|
|
21.12.2010, 21:47
Сообщение
#20
|
|
ЕРЖ-антисемит Группа: Пользователи Сообщений: 1900 Регистрация: 24.11.2009 Из: Великий Новгород Пользователь №: 23 |
Кирилл, а TARPIT в исходниках тебе нигде не встречался? Не, он сторонним пакетом ставится, но вроде как просто и без бубна. http://agapoff.name/memento-mori-iptables.html http://welinux.ru/post/730/ |
|
|
Текстовая версия | Сейчас: 29.3.2024, 1:00 |