LINUX.ORG.RU
ФорумAdmin

Дятлы долбят ssh

 ,


1

2

Привет всем, у меня тут проблемма, какой-то дятел уже пятый час долбит ssh c нескольких ip-шников. Как мне от него избавится. Вот пример лога.


Jan 08 15:33:15 skyhost-vds-22235 sshd[12820]: Received disconnect from 103.105.130.136 port 47100:11: Bye Bye [preauth] Jan 08 15:33:15 skyhost-vds-22235 sshd[12820]: Disconnected from authenticating user root 103.105.130.136 port 47100 [preauth] Jan 08 15:33:20 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=33:33:00:00:00:01:fa:16:3e:06:88:6c:86:dd SRC=fe80:0000:0000:0000:> Jan 08 15:33:20 skyhost-vds-22235 sshd[12827]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21> Jan 08 15:33:21 skyhost-vds-22235 sshd[12825]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=19> Jan 08 15:33:22 skyhost-vds-22235 sshd[12827]: Failed password for root from 217.29.126.136 port 37656 ssh2 Jan 08 15:33:23 skyhost-vds-22235 sshd[12825]: Failed password for root from 193.187.119.69 port 53402 ssh2 Jan 08 15:33:23 skyhost-vds-22235 sshd[12827]: Received disconnect from 217.29.126.136 port 37656:11: Bye Bye [preauth] Jan 08 15:33:23 skyhost-vds-22235 sshd[12827]: Disconnected from authenticating user root 217.29.126.136 port 37656 [preauth] Jan 08 15:33:24 skyhost-vds-22235 sshd[12825]: Received disconnect from 193.187.119.69 port 53402:11: Bye Bye [preauth] Jan 08 15:33:24 skyhost-vds-22235 sshd[12825]: Disconnected from authenticating user root 193.187.119.69 port 53402 [preauth] Jan 08 15:33:38 skyhost-vds-22235 sshd[12829]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=12> Jan 08 15:33:40 skyhost-vds-22235 sshd[12829]: Failed password for root from 120.31.131.172 port 58772 ssh2 Jan 08 15:33:41 skyhost-vds-22235 sshd[12829]: Received disconnect from 120.31.131.172 port 58772:11: Bye Bye [preauth] Jan 08 15:33:41 skyhost-vds-22235 sshd[12829]: Disconnected from authenticating user root 120.31.131.172 port 58772 [preauth] Jan 08 15:33:48 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=195.54.160.155 DST=1> Jan 08 15:33:54 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=92.63.197.83 DST=193> Jan 08 15:34:08 skyhost-vds-22235 sshd[12833]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=13> Jan 08 15:34:09 skyhost-vds-22235 sshd[12833]: Failed password for root from 139.155.2.6 port 48872 ssh2 Jan 08 15:34:11 skyhost-vds-22235 sshd[12833]: Received disconnect from 139.155.2.6 port 48872:11: Bye Bye [preauth] Jan 08 15:34:11 skyhost-vds-22235 sshd[12833]: Disconnected from authenticating user root 139.155.2.6 port 48872 [preauth] Jan 08 15:34:15 skyhost-vds-22235 sshd[12835]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=22> Jan 08 15:34:15 skyhost-vds-22235 sshd[12837]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=19> Jan 08 15:34:16 skyhost-vds-22235 sshd[12835]: Failed password for root from 222.239.124.19 port 42240 ssh2 Jan 08 15:34:16 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=193.57.40.20 DST=193> Jan 08 15:34:17 skyhost-vds-22235 sshd[12837]: Failed password for root from 193.187.119.69 port 39978 ssh2 Jan 08 15:34:18 skyhost-vds-22235 sshd[12835]: Received disconnect from 222.239.124.19 port 42240:11: Bye Bye [preauth] Jan 08 15:34:18 skyhost-vds-22235 sshd[12835]: Disconnected from authenticating user root 222.239.124.19 port 42240 [preauth] Jan 08 15:34:18 skyhost-vds-22235 sshd[12837]: Received disconnect from 193.187.119.69 port 39978:11: Bye Bye [preauth] Jan 08 15:34:18 skyhost-vds-22235 sshd[12837]: Disconnected from authenticating user root 193.187.119.69 port 39978 [preauth] Jan 08 15:34:19 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=33:33:00:00:00:01:fa:16:3e:06:88:6c:86:dd SRC=fe80:0000:0000:0000:> Jan 08 15:34:34 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=192.241.222.118 DST=> Jan 08 15:34:55 skyhost-vds-22235 sshd[12840]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=22> Jan 08 15:34:57 skyhost-vds-22235 sshd[12840]: Failed password for root from 221.181.185.198 port 27634 ssh2 Jan 08 15:34:59 skyhost-vds-22235 sshd[12840]: Failed password for root from 221.181.185.198 port 27634 ssh2 Jan 08 15:35:01 skyhost-vds-22235 sshd[12844]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=18> Jan 08 15:35:01 skyhost-vds-22235 CRON[12846]: pam_unix(cron:session): session opened for user root by (uid=0) Jan 08 15:35:01 skyhost-vds-22235 CRON[12847]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1) Jan 08 15:35:01 skyhost-vds-22235 CRON[12846]: pam_unix(cron:session): session closed for user root Jan 08 15:35:01 skyhost-vds-22235 sshd[12840]: Failed password for root from 221.181.185.198 port 27634 ssh2 Jan 08 15:35:02 skyhost-vds-22235 sshd[12840]: Received disconnect from 221.181.185.198 port 27634:11: [preauth] Jan 08 15:35:02 skyhost-vds-22235 sshd[12840]: Disconnected from authenticating user root 221.181.185.198 port 27634 [preauth] Jan 08 15:35:02 skyhost-vds-22235 sshd[12840]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.181.185> Jan 08 15:35:03 skyhost-vds-22235 sshd[12844]: Failed password for root from 181.49.50.202 port 47894 ssh2 Jan 08 15:35:04 skyhost-vds-22235 sshd[12844]: Received disconnect from 181.49.50.202 port 47894:11: Bye Bye [preauth] Jan 08 15:35:04 skyhost-vds-22235 sshd[12844]: Disconnected from authenticating user root 181.49.50.202 port 47894 [preauth] Jan 08 15:35:04 skyhost-vds-22235 sshd[12849]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=22> Jan 08 15:35:06 skyhost-vds-22235 sshd[12842]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=11> Jan 08 15:35:06 skyhost-vds-22235 sshd[12849]: Failed password for root from 221.181.185.198 port 35303 ssh2 Jan 08 15:35:08 skyhost-vds-22235 sshd[12842]: Failed password for root from 116.1.149.196 port 33042 ssh2 lines 1017-1067/1067 (END)

Если это не создает какой-то серьезной нагрузки на сервер и у тебя авторизация по ключам с нормальным паролем, то смысл тратить ресурсы на fail2ban или другие блокировщики особо нет. Просто не обращай внимания.

kardjoe ()
Ответ на: комментарий от nikolnik

Так это же разные боты атакуют наугад, а не какая-то целевая атака. Пока в auth.log более не замечал левых попыток. Ну и при сканировании 65 тысячи портов на одном хосте таких ботов может и провайдер забанить. Да и fail2ban никто не отменял, хотя не понятно, зачем же такой системный демон написали на питоне.

А ещё можно самому ловить этих ботов в капкан с помощью endlessh. Интересно, ввели ли они какой-то таймаут против endlessh. UPD: вот, выше уже опередили.

gag ★★★★★ ()
Последнее исправление: gag (всего исправлений: 1)
Ответ на: комментарий от kardjoe

то смысл тратить ресурсы на fail2ban или другие блокировщики особо нет.

Есть. Потому как уже в десяток потоков оно больше iptables recent жрать будет. Уж не знаю, экономичнее fail2ban, или нет, но тормозить их всё равно надо чем-то, либо ssh закрывать.

AS ★★★★★ ()

Кстати, а кто-нибудь передавал данные в abuse провайдера той атакующей машины (когда пров очевиден и досягаем, конечно) ? Стоит заморачиваться?

Мне-то доводилось несколько недвусмысленных намёков от хостеров отрабатывать, по поводу атак ( правда, давно и в основном это были чьи-то стоковые виртуалки со стандартными паролями).

NDfan ()
Ответ на: комментарий от gag

Интересно, ввели ли они какой-то таймаут против endlessh.

Походу ввели. Я понаблюдал. 20-30 сек примерно у 90 проц ботов. Но эти боты все равно конектятся повторно тучей с одного IP много много раз. Так что все нормально.

Bootmen ★☆☆ ()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от KivApple

Присоединяюсь, + ключ с парольной фразой. Ко мне много лет долбились, ничего не выдолбили. Если напрягают записи в логах, перевесь ssh на нестандортный порт, 42222 допустим, помогает.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

Плюс endlessh и fail2ban с такими параметрами:

[sshd]
enabled     = true
filter      = sshd
action      = route
logpath     = /var/log/auth.log
maxretry    = 2
findtime  = 1800
bantime  = -1
#bantime  = 43200

[sshd-ddos]
enabled     = true
filter      = sshd-ddos
action      = route
logpath     = /var/log/auth.log
maxretry    = 1
findtime  = 43200
bantime  = -1

Bootmen ★☆☆ ()
Ответ на: комментарий от d09

ssh на нестандартный порт и отключить вход по паролю,сертификаты сделать - 5 мину

К нему еще прикол файвола

iptables -A INPUT  -p tcp -m multiport --dport 21,22 -j REJECT
Теперь сканер будет думать , что есть действующий 22 порт, но блин он закрыт файрволом.

Bootmen ★☆☆ ()

https://wiki.nftables.org/wiki-nftables/index.php/Port_knocking_example

Настрой разок и сиди расчесывай мягкие шелковистые волосы. Там порт открывается для конкретного ip на определенное время.

У меня так убран openvpn и ssh, чтобы не отсвечивать в инторнеты вхолостую

gutaper ★★★★ ()
Последнее исправление: gutaper (всего исправлений: 1)

Как минимум, пускать только со своих ip, все остальные банить. Лет 10 назад для этого использовался tcpd, но его поддержку с ssh выпилили, теперь фильтровать надо сетевым экраном.

Лучше, все административные приложения запускать только на административном интерфейсе с выходом в изолированную административную сеть. В локалке это отдельный VLAN. В Интернете необходимо отдельно создать шифрованный VPN, если этот VPN упадет, доступа по ssh чтобы его починить не будет, его можно поднять только по IPKVM, по этому с административными шифрованными VPN надо работать аккуратно.

anonymous ()

сменить порт, к сожалению, уже совсем не эффективно,
в течении пары дней находят и начинают долбить снова, просканировать весь IPv4 диапазон адресов сейчас стало достаточно простой задачей,
поэтому либо белый список, либо knockd (или и то и то)

Sylvia ★★★★★ ()

Тоже порекомендую fail2ban

у себя поставил настройку, 3 - раза ошибка - бан этого IP на сутки.

нагрузка системы минимальна, P4+2Гб ОЗУ даже не замечают её.

[root@xxx fail2ban]# fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     39571
|  `- File list:        /var/log/secure
`- Actions
   |- Currently banned: 366
   |- Total banned:     13671
   `- Banned IP list:   112.85.42.120...
karasic ()
Ответ на: комментарий от anonymous

Это правильный ответ!

knockd, fail2ban и прочие только расширяют вектор атаки. Зачем использовать дополнительные костыли когда задача решается стандартными средствами маршрутизации и сетевого экрана?

anonymous ()
Ответ на: комментарий от Sylvia

сменить порт, к сожалению, уже совсем не эффективно, в течении пары дней находят и начинают долбить снова,

Может вас целенаправленно сканируют? Не тупые боты, а конкуренты или тп. У меня тишина полнейшая! Хотя я много лет не парился вообще. Я даже не перевешивал SSH, а просто прикрыл 22 порт наглухо снаружи, те SSH в локалке и по VPN как работал так и работает на 22 порту, а снаружи сделал проброс с 42222 на целевой 22, те же яйца, вид сбоку.

просканировать весь IPv4 диапазон адресов сейчас стало достаточно простой задачей

Я что то не понял, а причем диапазон Ipv4 адресов? Вы хотели сказать диапазон портов 1-65535? боты наверно так не работают чтоб весь диапазон Ipv4 адресов да по всем портам 1-65535.

alex_sim ★★★ ()
Ответ на: комментарий от Sylvia

в течении пары дней находят и начинают долбить снова, просканировать весь IPv4 диапазон адресов сейчас стало достаточно простой задачей,

Сменил порт ЕЩЕ раз. И впользуй примерами выше. Боты используют данные сканеров раз в 3 месяца. Сам наблюдал.нащупали. Был порт 11111

сканеры нащупали. Пошли атаки. Свалил на 11112. Тишина. Нащупали через полгода Свалил обратно на 11111 А там тишина...

Bootmen ★☆☆ ()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от alex_sim

У меня тишина полнейшая!

Скорее всего, цели для атаки выбираются по каким-либо дополнительным условиям. Например, открытый 80 порт, или какие-нибудь ещё стандартные сервисы.

Khnazile ★★★★★ ()
Ответ на: комментарий от Khnazile

Скорее всего, цели для атаки выбираются по каким-либо дополнительным условиям. Например, открытый 80 порт, или какие-нибудь ещё стандартные сервисы.

Вполне допускаю, что я не интересен им.

alex_sim ★★★ ()
Ответ на: комментарий от rupert

Инфа о том, что адрес заблокировался идет в ботнет, о том, что разбанился - тоже. Таким образом ботнет накапливает статистику, и подстраивает попытки таким образом, чтобы не попадать в бан.

Khnazile ★★★★★ ()