Debian fórum

Dotazy => Všeobecná podpora => Téma založeno: Elipso kdy 07. 02. 2014, 15:41:07

Název: SSH brute-force ?
Přispěvatel: Elipso kdy 07. 02. 2014, 15:41:07
Vážne to niekoho baví ?  :o

CitaceFeb  7 14:37:36 server sshd[27513]: PAM service(sshd) ignoring max retries; 6 > 3
Feb  7 14:37:44 server sshd[27526]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.2.22.134  user=root
Feb  7 14:37:46 server sshd[27526]: Failed password for root from 218.2.22.134 port 4613 ssh2
Feb  7 14:37:49 server sshd[27526]: Failed password for root from 218.2.22.134 port 4613 ssh2
Feb  7 14:37:53 server sshd[27526]: Failed password for root from 218.2.22.134 port 4613 ssh2
Feb  7 14:37:56 server sshd[27526]: Failed password for root from 218.2.22.134 port 4613 ssh2
Feb  7 14:37:59 server sshd[27526]: Failed password for root from 218.2.22.134 port 4613 ssh2
Feb  7 14:38:03 server sshd[27526]: Failed password for root from 218.2.22.134 port 4613 ssh2
Feb  7 14:38:03 server sshd[27526]: Disconnecting: Too many authentication failures for root [preauth]
Feb  7 14:38:03 server sshd[27526]: PAM 5 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.2.22.134  user=root
Feb  7 14:38:03 server sshd[27526]: PAM service(sshd) ignoring max retries; 6 > 3
Feb  7 14:38:11 server sshd[27541]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.2.22.134  user=root
Feb  7 14:38:13 server sshd[27543]: Accepted password for root from 192.168.1.101 port 9761 ssh2
Feb  7 14:38:13 server sshd[27543]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb  7 14:38:13 server sshd[27545]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Feb  7 14:38:13 server sshd[27545]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Feb  7 14:38:14 server sshd[27541]: Failed password for root from 218.2.22.134 port 4803 ssh2
Feb  7 14:38:17 server sshd[27541]: Failed password for root from 218.2.22.134 port 4803 ssh2
Feb  7 14:38:20 server sshd[27541]: Failed password for root from 218.2.22.134 port 4803 ssh2
Feb  7 14:38:24 server sshd[27541]: Failed password for root from 218.2.22.134 port 4803 ssh2
Feb  7 14:38:27 server sshd[27541]: Failed password for root from 218.2.22.134 port 4803 ssh2
Feb  7 14:38:30 server sshd[27541]: Failed password for root from 218.2.22.134 port 4803 ssh2
Feb  7 14:38:30 server sshd[27541]: Disconnecting: Too many authentication failures for root [preauth]

skončil pri 30000 :D Keď som uzavrel port 22
Název: Re:SSH brute-force ?
Přispěvatel: Petr Krčmář kdy 07. 02. 2014, 16:47:11
Bohužel baví, tohle je nejčastější cesta do systému. Doporučuji nainstalovat fail2ban, který sám po pár pokusech nastaví pravidlo do firewallu. Aspoň pak bot nevytěžuje zbytečně server. Samozřejmě taky doporučuji vypnout přihlašování heslem a nechat jen klíče.
Název: Re:SSH brute-force ?
Přispěvatel: Elipso kdy 07. 02. 2014, 19:05:35
Ako tak čítam o fail2ban tak je to celkom slušná hračka :D

Ale prečo sa zamerali na môj "home server" ... nemám na tom žiadny mega-super projekt. Celkovo som zbadal 10IP ktoré sa pokúšali takmer non-stop :D
Název: Re:SSH brute-force ?
Přispěvatel: Petr Krčmář kdy 07. 02. 2014, 20:05:06
Nikdo se nezaměřil. Internet se dnes dá prohledat za 45 minut a získáš seznam IP adres, na kterých běží SSH. Pak na to pustíš robota, který prostě střílí hesla. Je to velmi jednoduché a taky bohužel velmi účinné, protože k VPS má dneska přístup každý za pár korun, čili se ke správě dostávají i lamy, které použijí heslo 123456 pod záminkou ,,stejně tam nic nemám" a pak už to lítá.
Název: Re:SSH brute-force ?
Přispěvatel: Elipso kdy 08. 02. 2014, 18:13:53
Zrejme to ide ...

Citace2014-02-08 11:27:00,024 fail2ban.actions: WARNING [ssh] Ban 222.186.62.37
2014-02-08 11:50:05,560 fail2ban.actions: WARNING [ssh] Ban 222.186.62.56
2014-02-08 13:06:52,623 fail2ban.actions: WARNING [ssh] Ban 61.174.51.200
2014-02-08 14:18:54,367 fail2ban.actions: WARNING [ssh] Ban 222.186.62.42
2014-02-08 14:22:45,583 fail2ban.actions: WARNING [ssh] Ban 61.160.215.103
2014-02-08 14:28:53,926 fail2ban.actions: WARNING [ssh] Ban 61.174.51.217
2014-02-08 14:45:20,846 fail2ban.actions: WARNING [ssh] Ban 62.141.35.2
2014-02-08 14:46:55,948 fail2ban.actions: WARNING [ssh] Ban 121.196.0.20

2014-02-08 15:41:51,774 fail2ban.filter : INFO   Set findtime = 600
2014-02-08 15:41:51,774 fail2ban.actions: INFO   Set banTime = 864000
2014-02-08 15:41:51,779 fail2ban.jail   : INFO   Jail 'ssh' started
2014-02-08 15:41:51,780 fail2ban.jail   : INFO   Jail 'dropbear' started
2014-02-08 15:41:51,781 fail2ban.jail   : INFO   Jail 'ssh-ddos' started
2014-02-08 15:41:51,782 fail2ban.jail   : INFO   Jail 'apache' started
2014-02-08 15:41:51,785 fail2ban.jail   : INFO   Jail 'apache-noscript' started
2014-02-08 15:41:51,787 fail2ban.jail   : INFO   Jail 'apache-overflows' started
2014-02-08 16:26:17,085 fail2ban.actions: WARNING [ssh] Ban 60.10.69.251
2014-02-08 17:10:48,481 fail2ban.actions: WARNING [ssh] Ban 61.174.51.213
2014-02-08 17:13:30,632 fail2ban.actions: WARNING [ssh] Ban 222.33.62.178
2014-02-08 17:31:46,642 fail2ban.actions: WARNING [ssh] Ban 61.160.215.103
2014-02-08 17:49:08,595 fail2ban.actions: WARNING [ssh] Ban 222.186.62.6

Neskôr si to nastavím aj na triafača phpmyadmin-u :D
Název: Re:SSH brute-force ?
Přispěvatel: Elipso kdy 15. 02. 2014, 20:15:45
Nastavené aj na phpmyadmin
Log:
[Sat Feb 15 17:36:50 2014] [error] [client 189.129.116.124] File does not exist: /var/www/phpTest
[Sat Feb 15 17:36:50 2014] [error] [client 189.129.116.124] File does not exist: /var/www/phpMyAdmin
[Sat Feb 15 17:36:51 2014] [error] [client 189.129.116.124] File does not exist: /var/www/pma
[Sat Feb 15 17:36:52 2014] [error] [client 189.129.116.124] File does not exist: /var/www/myadmin
BAN
[Sat Feb 15 18:25:56 2014] [error] [client 163.177.26.1] File does not exist: /var/www/phpTest
[Sat Feb 15 18:25:58 2014] [error] [client 163.177.26.1] File does not exist: /var/www/phpMyAdmin
[Sat Feb 15 18:25:59 2014] [error] [client 163.177.26.1] File does not exist: /var/www/pma
[Sat Feb 15 18:26:00 2014] [error] [client 163.177.26.1] File does not exist: /var/www/myadmin
BAN