Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-12-29 21:52:21
giegiel - 
Członek DUG
- giegiel
- Członek DUG
- Skąd: Chrzypsko Wielkie/Poznań
- Zarejestrowany: 2006-04-15
Dziwne wpisy w Auth.log
non stop jakieś coś próbuje się wbić na serwer, a auth.log mam taki wpis:
Dec 27 05:58:40 kualalumpur sshd[14590]: pam_unix(sshd:auth): check pass; user unknown
Dec 27 05:58:40 kualalumpur sshd[14590]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=lus-snwl.raderhosting.com
Dec 27 05:58:42 kualalumpur sshd[14590]: Failed password for invalid user cathie from 76.72.90.58 port 54205 ssh2
Dec 27 05:58:43 kualalumpur sshd[14592]: Invalid user cathleen from 76.72.90.58
Jeszcze takie mam:
Dec 29 04:00:51 kualalumpur sshd[6272]: Failed password for invalid user tester from 208.100.34.199 port 64927 ssh2
Dec 29 04:00:52 kualalumpur sshd[6274]: Invalid user tester from 208.100.34.199
Dec 29 04:00:52 kualalumpur sshd[6274]: pam_unix(sshd:auth): check pass; user unknown
Dec 29 04:00:52 kualalumpur sshd[6274]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip199.208-100-34.static.steadfastdns.net
Dec 29 04:00:54 kualalumpur sshd[6274]: Failed password for invalid user tester from 208.100.34.199 port 64311 ssh2
Dec 29 04:00:55 kualalumpur sshd[6276]: Invalid user tester from 208.100.34.199
Dec 29 04:00:55 kualalumpur sshd[6276]: pam_unix(sshd:auth): check pass; user unknown
Dec 29 04:00:55 kualalumpur sshd[6276]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip199.208-100-34.static.steadfastdns.net
Dec 29 04:00:58 kualalumpur sshd[6276]: Failed password for invalid user tester from 208.100.34.199 port 41113 ssh2
Dec 29 04:00:59 kualalumpur sshd[6278]: Invalid user tester from 208.100.34.199
Dec 29 04:00:59 kualalumpur sshd[6278]: pam_unix(sshd:auth): check pass; user unknown
Dec 29 04:00:59 kualalumpur sshd[6278]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ip199.208-100-34.static.steadfastdns.net
Dec 29 04:01:01 kualalumpur sshd[6278]: Failed password for invalid user tester from 208.100.34.199 port 20038 ssh2
Dec 29 04:01:02 kualalumpur sshd[6280]: Invalid user tester from 208.100.34.199
Dec 29 04:01:02 kualalumpur sshd[6280]: pam_unix(sshd:auth): check pass; user unknown
Wie ktoś co to może być? Jak się tego pozbyć? Serwer mam podpięty do no-ip.org może to jest powiązane?
Ostatnio edytowany przez giegiel (2011-12-29 21:53:46)
Offline
#2 2011-12-29 22:04:48
winnetou - złodziej wirków ]:->
Re: Dziwne wpisy w Auth.log
Zainstaluj CSFa :P I banuj po 2-3 błędych próbach logowania na ssh. Ktoś Ci po prostu próbuje się wbić bruteforcem na ssh - norma ;]
Offline
#3 2011-12-29 22:27:33
giegiel - Członek DUG
- giegiel
- Członek DUG
- Skąd: Chrzypsko Wielkie/Poznań
- Zarejestrowany: 2006-04-15
Re: Dziwne wpisy w Auth.log
Dzięki wodzu
Offline
#4 2011-12-30 03:12:07
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Dziwne wpisy w Auth.log
Zainstaluj CSFa :
Co to i poco to?
Wystarczy:
inny port, np u mnie jest na porcie XXXXX.
W sshd_config:
Kod:
PermitRootLogin without-password MaxAuthTries 3 MaxSessions 10
W ten sposób ssh oficjalnie pyta o hasło roota, ale zalogować można się tylko kluczem rsa/dsa.
A wygląda to tak:
Kod:
ssh root@localhost -p {port}
Password:
Password:
Received disconnect from 127.0.0.1: 2: Too many authentication failures for rootSzkoda tylko, że wpisałem prawidlowe hasło.... :D
iptables hashlimit na port ssh.
np:
Kod:
iptables -I INPUT -m hashlimit -m tcp -p tcp --dport {port} --hashlimit 3/hour --hashlimit-mode srcip --hashlimit-name ssh -m state --state NEW -j ACCEPTDo tego warto zapuścić hashlimit na cały zakres portów np od 1 do 65000 - wtedy każdy skaner portów po kilku próbach dostaje bana, i żadnego otwartego portu nie znajdzie, chyba że w totolotku. :D
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2011-12-30 03:18:22)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2011-12-30 03:33:05
winnetou - złodziej wirków ]:->
Re: Dziwne wpisy w Auth.log
a choćby dlatego że CSF da Ci ten bonus, że najpierw ustawiasz permbana powiedzimy na Z minut (może sie zdarzyć że sam pod wpływem lipnie hasło wpiszesz) Do tego jeśli w ciągu X minut dane IP zaliczy Y permbanów to dostaje stałego bana i tylko łaska admina będzie w stanie je odblokować :) Oczywiście własne IP należy dodać do whitelisty ;]
Offline
#6 2011-12-30 03:38:43
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Dziwne wpisy w Auth.log
Ino w ten sposób masz następnego demona, który czasem działa, a czasem (po aktualizacji) może przestać.
A spróbuj hakować ssh ustawione wg mojego przepisu bruteforcem, przyjemnej zabawy :D
Ja generalnie wolę to, co w systemie zawsze działa, zamiast rozmaitych failbanów, czy innych cudów techniki.
Pozdro
;-)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2011-12-30 10:46:16
winnetou - złodziej wirków ]:->
Re: Dziwne wpisy w Auth.log
CSFa używam z powodzeniem od dłuższego czasu, autoaktualizacja ustawiona i nie zdarzyło mi się żeby odmówił posłuszeństwa. Zmiana portu czy logowanie roota tylko po kluczach to podstawa :P Z csfem dodawany jest jeszcze daemon LFD też z bardzo fajnymi opcjami. Zapraszam do zapoznania się z jego możliwościami: http://configserver.com/cp/csf.html ;) Z webminem, DA integruje się bardzo ładnie. Z cPanelem nie testowałem nie stać mnie na lickę :P
Offline
#8 2012-01-02 14:37:25
giegiel - Członek DUG
- giegiel
- Członek DUG
- Skąd: Chrzypsko Wielkie/Poznań
- Zarejestrowany: 2006-04-15
Re: Dziwne wpisy w Auth.log
Jest jakiś fajny manual do tego CSF dostępny? Szukałem w internetach ale nic fajnego nie znalazłem.
Offline
#9 2012-01-02 15:46:22
qluk - Pan inż. Cyc
- qluk
- Pan inż. Cyc
- Skąd: Katowice
- Zarejestrowany: 2006-05-22
Re: Dziwne wpisy w Auth.log
Popieram rozwiązanie Jacekalex. Po cholere marnować kolejne zasoby na coś co można równie dobrze zrealizować w ramach obecnie uzytkowanych zasobów?
A tak swoja droga, to kto umożliwia logowanie na root'a poprzez ssh? ;)
Ostatnio edytowany przez qluk (2012-01-02 15:46:39)
Offline
#10 2012-01-02 16:02:53
BiExi - matka przelozona
#11 2012-01-02 16:29:03
dominbik - Członek DUG
- dominbik
- Członek DUG
- Zarejestrowany: 2011-07-25
Re: Dziwne wpisy w Auth.log
qluk napisał(-a):
A tak swoja droga, to kto umożliwia logowanie na root'a poprzez ssh? ;)
wcale nie tak mało osób
Offline
#12 2012-01-02 16:35:31
winnetou - złodziej wirków ]:->
Re: Dziwne wpisy w Auth.log
giegiel: /etc/csf/csf.conf
wszystko pięknie opisane ;)
Co do zasobów to się nie będę wypowiadał :P ale te kilka mega ramu i 0,5% czasu procka raz na 5-15 minut to chyba nie jest tragedia :P
Offline