Недавно какой-то урод нехороший человек решил побрутфорсить мой VDS, подобрав рут пароль и поимев доступ через ssh.
Пресек я это дело, во-первых, отключением рут-доступа через ssh, а во-вторых, маленькой утилитой denyhosts.
Принцип действия ее весьма и весьма прост - после трех подряд идущих неудачных попытки аутентификации по ssh, она банит по IP машину брутфорсера.
Ахтунг! Не ошибитесь сами при вводе пароля, ибо Ваш покорный слуга сегодня это сделал, и это не есть круто.
В этом случае - марш с другого айпи в /etc/hosts.deny и удалять строчку со своим айпишником. Так я и поступил.
UPD Выяснилось, не все так просто, необходимо остановить denyhosts, зайти в /var/lib/denyhosts, посносить там в конфигах строчки со своим айпи, создать (опционально) allowed-hosts, в котором вписать свой айпи в строчку, и снова запустить демон.
-
читал гдето что можно через iptables сделать таймаут перед подключением к sshd.
вот тоже по теме ссылка
-
-
да через них в принципе наверно можно делать все с сетью
-
где то я уже это читал... только не помню где
-
-
Этот твой коммент очень похож на те, что я получаю от ботов в блоге на вордпрессе.
-
прога достаточно известная, с проблемой я столкнулся вот сегодня впервые, решил поделится. Ничего удивительного
-
...подобрав рут пароль ...
Пресек я это дело, во-первых, отключением рут-доступа через ssh,
и вы уверены что злоумышленник не как не закрепился на системе?
-
-
сейчас - да.
При таком подходе шансов у него немного - через ссш есть по сути один возможный вход - зайти под обычным пользователем (их там два), и попробовать su.
Во-первых, вход под обычным юзером проблема, ибо логин знать надо, затем пароль обычного юзера, и затем пароль рута. Сложновато на самом деле.
Конечно, я не говорю, что это панацея от сетевого взлома, по мне, так ее вообще нет, но отразить такую брутфорс-атаку с машинным перебором пароля это поможет, я так надеюсь :)
-
-
так это, если он сбрутил пароль рута, то что ему мешает зайти от рута, поставить руткит, почистить логи, и уйти из системы? (после чего вы и запретили логин по ссш)
>ибо логин знать надо
тут нету никакой проблемы, например набрав last можно узнать кто последний раз логинелся, или посмотреть в /home/ или ...
denyhosts атаку отразить бесспорно поможет, только я писал про тот момент когда сбрутили пасс, а не когда вы применили меры.
-
-
стоп. Пароль рута он не сбрутил, это раз.
Тем более, я в принципе запретил по ссш вход от имени рута - это было первое действие.
набрать ласт можно только после логина, чего у него сейчас нет.
-
-
Недавно какой-то урод нехороший человек решил побрутфорсить мой VDS, подобрав рут пароль и поимев доступ через ssh.
ввело меня в замешательство.
-
-
оу, имеется ввиду решил подобрать
-
Была такая же тема, только рут изначально закрыт, так что кто-то просто пытался подобрать юзера. Решил через iptables и проблема отпала. На мой взгляд, iptables лучше тем, что там блокировка временная и если сам хозяин ступил и попал в блок, то через некоторое время возможность входа снова появится. :)
-
-
Согласен, раньше пользовался sshguard и fail2ban, теперь только fail2ban от всего не ссш-ного и recent iptables:
1
2
|
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --update --seconds 15 -j TARPIT
iptables -A INPUT -i ppp0 -p tcp -m state --state NEW --dport 22 -m recent --set -j ACCEPT |
Принимает SYN на 22 порт не чаще одного раза в 15 секунд с одного адреса. Если есть повторный - все пакеты с адреса отбрасываются в т.ч. установленные соединения, после 15 секунд тишины адрес забывается. Вместо TARPIT простые смертные могут использовать DROP или REJECT)
-
в denyhosts это тоже возможно. Да, там вообще много фич разнообразных, включая например, уведомление одмина по e-mail и прочих плюшек
-
-
Прикольно. Полезная штука, в принципе, надо запомнить. :)
Хотя, от админства я уже очень далеко.. :)
-
-
да и я далеко. Но проблемы-то решать надо.
-
Denyhost тоже по умолчанию не навечно блокирует, в бубунте например по умолчанию 4 недели выставлено.
-
-
Ну я какбе не готов ждать 4 недели :)))
-
-
Что мешает выставить 4 дня, часа, минуты? :)))
-
Ssh лучше делать c доступом по ключам.(при этом обязательно отключив логин по паролю,а то некоторые забывают,но зачем же тогда ключи нужны....)
Чтобы всякие боты и вирусятни не брутфорсили - убрать с 22 порта.Да это в любом случае полезно.
Еще есть утилита fail2ban.
А еще можно на стандартный 22 порт повесить honeypot и смотреть как вас взламывают!)))
-
-
Чтобы всякие боты и вирусятни не брутфорсили - убрать с 22 порта
Стараюсь придумать решение хуже и не могу. Наверное, переименование рута еще хуже. Не люблю, когда перевешивают порты, и не люблю тех, кто их перевешивает :Ё Есть же простые и надежные способы, не нарушающие стандарты.
Не проверял, но уверен, что любой nmap -A покажет, где ждет ssh.
-
Nmap конечно покажет(пробовал netcat - показывал).
Есть решения хуже!)))
Читал еще про один способ есть - параноидальный.Вешается скрипт,на определенный порт,который слушает.Когда приходит определенный пакет,он открывает порт для ssh.
-
И вот тоже не ясно зачем, брутфорс это вообще легко решаемая проблема)
-
Согласен,что вас способ лучше!)
Я с таким не сталкивался и сам не додумался...
Про "в любом случае полезно" перегнул палку.Замена с 22 на другой порт была в качестве примера с honeypot.
-
-
Да, тогда в этом есть смысл :)
-
на всяких *бунтах, федорах, сусях и прочем ссх по-дефолту включен? это ведь серьезная уязвимость, особенно, учитывая, что новички (и не только) об этом вообще не задумываются и ставят очень простые пароли на аккаунт. и рут там даже не нужен, есть ведь судо.
ссх без ключа очень опасен, имхо. особенно, когда еще и используется обычный фтп с невиртуальными юзерами.
-
-
по-моему нет.
-
-
в Арче подефолту нужно внешние конекты разрешить в host.allow/deny
|
|
|
  |
|
Последние посты
|
|
|
Последние комментарии
|
|
|
Изменения
|
 |
|
Top блогов (все)
|
|
|
Top пользователей (все)
|
|
|
Все
