Видео смотреть бесплатно

Смотреть ева элфи видео

Официальный сайт jhealth 24/7/365

Смотреть видео бесплатно

WeLinux.ru

07.07.09 21:41Username

Tips & tricksdenyhosts

Недавно какой-то урод нехороший человек решил побрутфорсить мой VDS, подобрав рут пароль и поимев доступ через ssh.

Пресек я это дело, во-первых, отключением рут-доступа через ssh, а во-вторых, маленькой утилитой denyhosts.

Принцип действия ее весьма и весьма прост - после трех подряд идущих неудачных попытки аутентификации по ssh, она банит по IP машину брутфорсера.

Ахтунг! Не ошибитесь сами при вводе пароля, ибо Ваш покорный слуга сегодня это сделал, и это не есть круто.

В этом случае - марш с другого айпи в /etc/hosts.deny и удалять строчку со своим айпишником. Так я и поступил.

UPD Выяснилось, не все так просто, необходимо остановить denyhosts, зайти в /var/lib/denyhosts, посносить там в конфигах строчки со своим айпи, создать (опционально) allowed-hosts, в котором вписать свой айпи в строчку, и снова запустить демон.
+6
in1t07.07.09 22:02# +1
читал гдето что можно через iptables сделать таймаут перед подключением к sshd.
вот тоже по теме ссылка
Username07.07.09 22:09# +0
да через них в принципе наверно можно делать все с сетью
DarkWizard07.07.09 23:00# +0
где то я уже это читал... только не помню где
exelens07.07.09 23:04# +2
Этот твой коммент очень похож на те, что я получаю от ботов в блоге на вордпрессе.
Username07.07.09 23:52# +0
прога достаточно известная, с проблемой я столкнулся вот сегодня впервые, решил поделится. Ничего удивительного
hello08.07.09 02:19# +0
...подобрав рут пароль ...
Пресек я это дело, во-первых, отключением рут-доступа через ssh,


и вы уверены что злоумышленник не как не закрепился на системе?

Username08.07.09 02:25# +0
сейчас - да.
При таком подходе шансов у него немного - через ссш есть по сути один возможный вход - зайти под обычным пользователем (их там два), и попробовать su.
Во-первых, вход под обычным юзером проблема, ибо логин знать надо, затем пароль обычного юзера, и затем пароль рута. Сложновато на самом деле.

Конечно, я не говорю, что это панацея от сетевого взлома, по мне, так ее вообще нет, но отразить такую брутфорс-атаку с машинным перебором пароля это поможет, я так надеюсь :)
hello08.07.09 03:09# +0
так это, если он сбрутил пароль рута, то что ему мешает зайти от рута, поставить руткит, почистить логи, и уйти из системы? (после чего вы и запретили логин по ссш)

>ибо логин знать надо
тут нету никакой проблемы, например набрав last можно узнать кто последний раз логинелся, или посмотреть в /home/ или ...

denyhosts атаку отразить бесспорно поможет, только я писал про тот момент когда сбрутили пасс, а не когда вы применили меры.


Username08.07.09 12:47# +0
стоп. Пароль рута он не сбрутил, это раз.
Тем более, я в принципе запретил по ссш вход от имени рута - это было первое действие.

набрать ласт можно только после логина, чего у него сейчас нет.
hello09.07.09 02:32# +0
Недавно какой-то урод нехороший человек решил побрутфорсить мой VDS, подобрав рут пароль и поимев доступ через ssh.


ввело меня в замешательство.
Username09.07.09 03:13# +0
оу, имеется ввиду решил подобрать
n0p08.07.09 06:16# +1
Была такая же тема, только рут изначально закрыт, так что кто-то просто пытался подобрать юзера. Решил через iptables и проблема отпала. На мой взгляд, iptables лучше тем, что там блокировка временная и если сам хозяин ступил и попал в блок, то через некоторое время возможность входа снова появится. :)
zivot_je_cudo08.07.09 08:15# +2
Согласен, раньше пользовался sshguard и fail2ban, теперь только fail2ban от всего не ссш-ного и recent iptables:
1
2
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 15 -j TARPIT
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT

Принимает SYN на 22 порт не чаще одного раза в 15 секунд с одного адреса. Если есть повторный - все пакеты с адреса отбрасываются в т.ч. установленные соединения, после 15 секунд тишины адрес забывается. Вместо TARPIT простые смертные могут использовать DROP или REJECT)
Username08.07.09 12:49# +1
в denyhosts это тоже возможно. Да, там вообще много фич разнообразных, включая например, уведомление одмина по e-mail и прочих плюшек
n0p08.07.09 14:38# +0
Прикольно. Полезная штука, в принципе, надо запомнить. :)
Хотя, от админства я уже очень далеко.. :)
Username08.07.09 14:40# +1
да и я далеко. Но проблемы-то решать надо.
zhentos10.07.09 03:13# +0
Denyhost тоже по умолчанию не навечно блокирует, в бубунте например по умолчанию 4 недели выставлено.
n0p10.07.09 06:06# +0
Ну я какбе не готов ждать 4 недели :)))
zhentos10.07.09 17:06# +0
Что мешает выставить 4 дня, часа, минуты? :)))
zorggg08.07.09 06:39# +1
Ssh лучше делать c доступом по ключам.(при этом обязательно отключив логин по паролю,а то некоторые забывают,но зачем же тогда ключи нужны....)
Чтобы всякие боты и вирусятни не брутфорсили - убрать с 22 порта.Да это в любом случае полезно.
Еще есть утилита fail2ban.
А еще можно на стандартный 22 порт повесить honeypot и смотреть как вас взламывают!)))
zivot_je_cudo08.07.09 08:20# +2
Чтобы всякие боты и вирусятни не брутфорсили - убрать с 22 порта
Стараюсь придумать решение хуже и не могу. Наверное, переименование рута еще хуже. Не люблю, когда перевешивают порты, и не люблю тех, кто их перевешивает :Ё Есть же простые и надежные способы, не нарушающие стандарты.
Не проверял, но уверен, что любой nmap -A покажет, где ждет ssh.
zorggg08.07.09 09:13# +0
Nmap конечно покажет(пробовал netcat - показывал).
Есть решения хуже!)))
Читал еще про один способ есть - параноидальный.Вешается скрипт,на определенный порт,который слушает.Когда приходит определенный пакет,он открывает порт для ssh.
zivot_je_cudo08.07.09 11:41# +0
И вот тоже не ясно зачем, брутфорс это вообще легко решаемая проблема)
zorggg08.07.09 12:37# +1
Согласен,что вас способ лучше!)
Я с таким не сталкивался и сам не додумался...
Про "в любом случае полезно" перегнул палку.Замена с 22 на другой порт была в качестве примера с honeypot.
zivot_je_cudo09.07.09 10:50# +0
Да, тогда в этом есть смысл :)
kampfusbeke08.07.09 14:26# +0
на всяких *бунтах, федорах, сусях и прочем ссх по-дефолту включен? это ведь серьезная уязвимость, особенно, учитывая, что новички (и не только) об этом вообще не задумываются и ставят очень простые пароли на аккаунт. и рут там даже не нужен, есть ведь судо.
ссх без ключа очень опасен, имхо. особенно, когда еще и используется обычный фтп с невиртуальными юзерами.
Username08.07.09 14:34# +1
по-моему нет.
lasc10.07.09 01:37# +0
в Арче подефолту нужно внешние конекты разрешить в host.allow/deny

Top блогов (все)
Топ пользователей Топ блогов
Топ пользователей Топ блогов
Top пользователей (все)
Топ пользователей Топ блогов
Новенькие: nikebl, renya, micro, vanDake, pasha220992
welinux.ru
Идея сайта exelens; Движок 0byte, разработчик nvbn; Дизайн - Astramak

Смотреть видео онлайн

Онлайн видео бесплатно


Смотреть русское с разговорами видео

Online video HD

Видео скачать на телефон

Русские фильмы бесплатно

Full HD video online

Смотреть видео онлайн

Смотреть HD видео бесплатно

School смотреть онлайн