[Кулхацкеры] Мою тачку брутят

Расслабся. Поставь надёжные пассы пользователям, запрети доступ руту или доступ руту только по ключу. В крайнем случае повесь ssh на другой порт.

 whois 177.102.0.189 

 TELECOMUNICACOES DE SAO PAULO S.A. - TELESP 

Ню-ню :3

Нет, ты конечно, можешь написать абузу и ждать реагирования, но поверь - ботов по миру тьма. Что будешь делать с индусскими/китайскими IP-шниками?

fail2ban

И пока ты всем будешь слать абузы - боты не будут простаивать. Думай.

>Что будешь делать с индусскими/китайскими IP-шниками?

Их бы вообще на какой нибудь другой протокол перевести не совместимый с tcp/ip

> там почта, VNC, два SSH, оффтопик терминал сервис, и апач

Апач на 404й странице мыло админа не показывает? Хотя вряд ли, конечно, там будет что-то реальное. Судя по списку сервисов, это вообще может быть honeypot.

Пересунь SSH на нестандартный порт, убери разрешение на вход рута, настрой авторизацию по ключам, расслабься и откинсья на спинку кресла.

Убери уже ssh c 22 порта, в тебя ломятся боты, которые ломятся во все стороны.

echo iptables -A INPUT -s 177.102.0.189 -j DROP > /etc/rc.local

fail2ban

Пассы надежные уже давно стоят, рута запрещу, все равно по ssh не пользуюсь им. Вопрос не в том. Че это за бред с 270 попытками? Они надеются таким образом много тачек захватить? Если у админа пароль не «Love» «God» то 270 попыток не хватит. Меня просто раздражает, что кто-то лезет на мою тачку.

Лучше REJECT, он корректно разрывает TCP соединение отсылая флаг RST.

Это интернет, детка.

поставь пароли покруче и забей.

Port knocking используй с fail2ban.

Ок, поставил fail2ban, теперь буду спать спокойно. Т.е. это нормально? Первый раз такое замечаю.

хирургические тонкости.

Вполне. Понимаешь, адресов IPv4 достаточно мало, и реально иногда проводить по диапазонам скан на наличие открытых некоторых портов.

Набросано за пару минут:

nmap -n -Pn -oG - -p22 177.102.0.1-255 | grep open

А теперь представь, что у тебя как минимум несколько ботов, которые могут постоянно сканировать и обмениваться результатами посредством центральных серверов.

Но вполне актуальные. Держать десятки-сотни недодохлых TCP-соединений - это плохо, п'нятненько?

так точно гражданин лейтенант.

Он отсылает ICMP код Destination Host Unreachable. Дроп этого не делает. Дроп просто игнорит входящие пакеты.

Разве? Откуда это на сервере появятся недодохлые соединения, если ты просто молча не принимаешь первый SYN?

Да, забыл, что для RST надо флаг --reject-with tcp-reset

Как вариант: SSH наружу закрыть, настроить OpenVPN и ходить через него.

Интересное замечание. Но с REJECT будет видимость, что сервиса вообще нет. В принципе, против ботов можно и DROP.

+ не забывай еще про канал. В случае с REJECT'ом ты сам же и грузишь свой исходящий канал ответами.

т.е. все таки DROP? гражданин ерунду посоветовал?

в Индии английский как бы второй государственный, да и в Китае смогут прочитать если очень приспичит :)

Не то, чтобы ерунду, но DROP как-то чаще применяется. Когда идут сканы вроде тех, что у ТСа - то можно и REJECT, а когда еще хотят забить твой канал - лучше все-таки DROP

Если вдруг на сервере будет огромная нагрузка (мало ли, что-то в свом полезло, или ботов навалило на другие сервисы), то подключится через SSH куда проще, так как опенвпн может просто отваливаться.

Просто пару раз по ssh приходилось реанимировать почти скопытившиеся серваки.

Я к тому, что IP с этих регионов могут быть тыщи.

Онально накажи таких iptablesом

Буду иметь ввиду, но на своем домашнем «сервере» с таким не сталкивался.

Есть несколько решений. Самое распростаненное (и неудобное) сменить порт ssh на отличный от 22 (запаришься указывать номер порта, если нужно будет зайти не с рабочей машины (ее можно настроить, чтобы не нужно было вводить порт), а если это придется объяснять кому-то еще - то совсем труба).

Другое решение установить скрипт, который по крону парсит лог и блокирует всех, кто неудачно пытался авторизоваться.

Вот пример.

http://www.pacificsimplicity.ca/blog/ssh-password-attacks-block-ip-script

Я поменял скрипт, чтобы он использовал ipset для добавления IP, причем с таймаутом в одни сутки. Из неудобств, нужно настроить стартап скрипты, чтобы ipset стартовал до iptables и создавал нужные наборы, кроме того, если сам ошибешься, то зайти с того же IP сможешь только через сутки. Еще для надежности, имеет смысл сделать так, чтобы ошибки авторизации особого пользователя (у которого есть sudo) не отслеживались (хакеры его не знают и подбирать его пароль не будут, ну а ты, если не сразу сможешь вспомнить пароль, или набирать его будешь с неудобной клавиатуры, забудешь сменить раскладку... получишь возможность «повспоминать» пароль).

Также можно настроить ssh, чтобы ограничить количество одновременных подключений, которые находятся в стадии авторизации. Тогда при срабатывании скрипта раз в 2 минуты хакеры опробуют лишь десяток паролей для каждого подключения.

Все уже давно написано: есть fail2ban

Там же дополительные пляски не шибко окупаются приростом безопасности. Вроде сие больше для руткитов подходит.

Там же дополительные пляски не шибко окупаются приростом безопасности. Вроде сие больше для руткитов подходит.

Я бы не назвал это плясками - все очень просто и хорошо применяется с fail2ban. Если для бота нет порта - пусть хоть обстучится туда. Открывается порт только для того, кто знает комбинацию «стука» - по каким портам и протоколам с какой периодичностью и последовательностью стучать. Тем более открывается порт только для того IP, который произвел правильную цепочку действий. короче маст хэв, я у себя все давно перевел на port knocking =)

Меня брутят ежедневно по разным портам под разными именами с разных IP адресов. Перекроешь им одно — будут стучаться в другое.

Я бы выключил и включил модем, у меня сразу меняется IP-адрес. Ну и пароль от root если бы был несложный - поставил сложный. Но 270 попыток это мало, очень мало.

под разными именами

Меня тоже, до того как порт не закрыл. Меня всегда интересовало, какой пароль они пытаются подобрать? Он совпадает с логином? Неужели настолько много таких идиотов^Wлюдей, чтобы грузить таким канал?

поменял и стало скучно, вернул на 22 снова.

Капитан же!

до капитана еще не добрал.

>поменял и стало скучно

А мне еще во всякие пятизначные порты стучат. Чем мой сервак им так приглянулся...

забей, у них работа такая - ddos, брутфорс, размножение. Скайнет же, а ты им вкусен чем - то, например - открытым 22 портом

А с DROP у бота будет таймаут, и тоже непонятно, есть сервис али нет. Так что в случае скана разницы, по большому счету, никакой. А в случае доса лучше дроп (если большой ботнет) или tarpit (если атакующих хостов немного, но мощных).

Обрати внимание, что они перебирают не пароли, а логины :)

270 попыток - потому что у них словарь их 270 самых популярных слов. Или же это база логинов-паролей со свежесбрученного форума и его применяют ко всем отвечающим на 22 порт хостам.

P.S.: первым делом всегда перевешиваю sshd на порт повыше, потому что иначе btmp начинает расти не по дням, а по часам. Видел серверы где заканчивалось место в /var из-за разросшегося btmp :)

> Обрати внимание, что они перебирают не пароли, а логины :)

Абыр... я хотел сказать, пары логин+пароль, а не тупо брутят рута.