LINUX.ORG.RU
ФорумAdmin

Дятлы долбят ssh

 ,


1

2

Привет всем, у меня тут проблемма, какой-то дятел уже пятый час долбит ssh c нескольких ip-шников. Как мне от него избавится. Вот пример лога.


Jan 08 15:33:15 skyhost-vds-22235 sshd[12820]: Received disconnect from 103.105.130.136 port 47100:11: Bye Bye [preauth] Jan 08 15:33:15 skyhost-vds-22235 sshd[12820]: Disconnected from authenticating user root 103.105.130.136 port 47100 [preauth] Jan 08 15:33:20 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=33:33:00:00:00:01:fa:16:3e:06:88:6c:86:dd SRC=fe80:0000:0000:0000:> Jan 08 15:33:20 skyhost-vds-22235 sshd[12827]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21> Jan 08 15:33:21 skyhost-vds-22235 sshd[12825]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=19> Jan 08 15:33:22 skyhost-vds-22235 sshd[12827]: Failed password for root from 217.29.126.136 port 37656 ssh2 Jan 08 15:33:23 skyhost-vds-22235 sshd[12825]: Failed password for root from 193.187.119.69 port 53402 ssh2 Jan 08 15:33:23 skyhost-vds-22235 sshd[12827]: Received disconnect from 217.29.126.136 port 37656:11: Bye Bye [preauth] Jan 08 15:33:23 skyhost-vds-22235 sshd[12827]: Disconnected from authenticating user root 217.29.126.136 port 37656 [preauth] Jan 08 15:33:24 skyhost-vds-22235 sshd[12825]: Received disconnect from 193.187.119.69 port 53402:11: Bye Bye [preauth] Jan 08 15:33:24 skyhost-vds-22235 sshd[12825]: Disconnected from authenticating user root 193.187.119.69 port 53402 [preauth] Jan 08 15:33:38 skyhost-vds-22235 sshd[12829]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=12> Jan 08 15:33:40 skyhost-vds-22235 sshd[12829]: Failed password for root from 120.31.131.172 port 58772 ssh2 Jan 08 15:33:41 skyhost-vds-22235 sshd[12829]: Received disconnect from 120.31.131.172 port 58772:11: Bye Bye [preauth] Jan 08 15:33:41 skyhost-vds-22235 sshd[12829]: Disconnected from authenticating user root 120.31.131.172 port 58772 [preauth] Jan 08 15:33:48 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=195.54.160.155 DST=1> Jan 08 15:33:54 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=92.63.197.83 DST=193> Jan 08 15:34:08 skyhost-vds-22235 sshd[12833]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=13> Jan 08 15:34:09 skyhost-vds-22235 sshd[12833]: Failed password for root from 139.155.2.6 port 48872 ssh2 Jan 08 15:34:11 skyhost-vds-22235 sshd[12833]: Received disconnect from 139.155.2.6 port 48872:11: Bye Bye [preauth] Jan 08 15:34:11 skyhost-vds-22235 sshd[12833]: Disconnected from authenticating user root 139.155.2.6 port 48872 [preauth] Jan 08 15:34:15 skyhost-vds-22235 sshd[12835]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=22> Jan 08 15:34:15 skyhost-vds-22235 sshd[12837]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=19> Jan 08 15:34:16 skyhost-vds-22235 sshd[12835]: Failed password for root from 222.239.124.19 port 42240 ssh2 Jan 08 15:34:16 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=193.57.40.20 DST=193> Jan 08 15:34:17 skyhost-vds-22235 sshd[12837]: Failed password for root from 193.187.119.69 port 39978 ssh2 Jan 08 15:34:18 skyhost-vds-22235 sshd[12835]: Received disconnect from 222.239.124.19 port 42240:11: Bye Bye [preauth] Jan 08 15:34:18 skyhost-vds-22235 sshd[12835]: Disconnected from authenticating user root 222.239.124.19 port 42240 [preauth] Jan 08 15:34:18 skyhost-vds-22235 sshd[12837]: Received disconnect from 193.187.119.69 port 39978:11: Bye Bye [preauth] Jan 08 15:34:18 skyhost-vds-22235 sshd[12837]: Disconnected from authenticating user root 193.187.119.69 port 39978 [preauth] Jan 08 15:34:19 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=33:33:00:00:00:01:fa:16:3e:06:88:6c:86:dd SRC=fe80:0000:0000:0000:> Jan 08 15:34:34 skyhost-vds-22235 kernel: [UFW BLOCK] IN=eth0 OUT= MAC=fa:16:3e:7f:b9:98:00:07:7d:63:f9:bf:08:00 SRC=192.241.222.118 DST=> Jan 08 15:34:55 skyhost-vds-22235 sshd[12840]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=22> Jan 08 15:34:57 skyhost-vds-22235 sshd[12840]: Failed password for root from 221.181.185.198 port 27634 ssh2 Jan 08 15:34:59 skyhost-vds-22235 sshd[12840]: Failed password for root from 221.181.185.198 port 27634 ssh2 Jan 08 15:35:01 skyhost-vds-22235 sshd[12844]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=18> Jan 08 15:35:01 skyhost-vds-22235 CRON[12846]: pam_unix(cron:session): session opened for user root by (uid=0) Jan 08 15:35:01 skyhost-vds-22235 CRON[12847]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1) Jan 08 15:35:01 skyhost-vds-22235 CRON[12846]: pam_unix(cron:session): session closed for user root Jan 08 15:35:01 skyhost-vds-22235 sshd[12840]: Failed password for root from 221.181.185.198 port 27634 ssh2 Jan 08 15:35:02 skyhost-vds-22235 sshd[12840]: Received disconnect from 221.181.185.198 port 27634:11: [preauth] Jan 08 15:35:02 skyhost-vds-22235 sshd[12840]: Disconnected from authenticating user root 221.181.185.198 port 27634 [preauth] Jan 08 15:35:02 skyhost-vds-22235 sshd[12840]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.181.185> Jan 08 15:35:03 skyhost-vds-22235 sshd[12844]: Failed password for root from 181.49.50.202 port 47894 ssh2 Jan 08 15:35:04 skyhost-vds-22235 sshd[12844]: Received disconnect from 181.49.50.202 port 47894:11: Bye Bye [preauth] Jan 08 15:35:04 skyhost-vds-22235 sshd[12844]: Disconnected from authenticating user root 181.49.50.202 port 47894 [preauth] Jan 08 15:35:04 skyhost-vds-22235 sshd[12849]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=22> Jan 08 15:35:06 skyhost-vds-22235 sshd[12842]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=11> Jan 08 15:35:06 skyhost-vds-22235 sshd[12849]: Failed password for root from 221.181.185.198 port 35303 ssh2 Jan 08 15:35:08 skyhost-vds-22235 sshd[12842]: Failed password for root from 116.1.149.196 port 33042 ssh2 lines 1017-1067/1067 (END)



Последнее исправление: sever99 (всего исправлений: 2)

1 2

Не понятна цель «ботнета», методом перебора подобрать пароль? С длительными банами IP-адресов атакующих они будут делать это до второго пришествия...

karasic
()
Ответ на: комментарий от Khnazile

Инфа о том, что адрес заблокировался идет в ботнет, о том, что разбанился -

Мне кажется Вы переоцениваете интелект ботов, вот взять мой вариант, до перевешивания порта, сунулся бот ему дали отлуп и даже понятно что требуется ключ, они все равно долбятся, ну если нет ключа то чего долбиться? Иьи я не прав?

alex_sim ★★★★
()
Ответ на: комментарий от alex_sim

Сей bantime -1 Порт перевешен. На 22 порту iptables сообщает «гостям» что трафик фильтруется. Месяц назад какойто сканер нащупал порт sshd. Однако пока нападения маленькие. 1-2 в сутки. Походу ботнет еще та несмазанная машинка. Подожду. Как навалятся толпой-сменю порт. :). Данные каждый день беру из LogWatch.

Bootmen ☆☆☆
()
Ответ на: комментарий от Bootmen

Забыл добавить: Польша, Бразилия и Эмираты забанены. Все их IP диапазоны.

Bootmen ☆☆☆
()
6 февраля 2022 г.
Ответ на: комментарий от post-factum

Перевесь SSH на другой порт, а на порт 22 повесь endlessh.

Все это хорошо. Но, как заставить endlessh гадить не в syslog, В системах в init.d это можно подкрутить. В системцтл в инит файле нет чего то про лог файл.

anonymous
()
Ответ на: комментарий от gag

увы, больше не помогает, ранее несколько лет редко кто тыкался, сейчас находят в течении пары часов - дней.

Так что или белый список, с свободным доступом через VPN
или knockd

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

У бот сетей есть главнюк. Когда центральный сервер ботов получит данные от сканеров и в свою очередь запограммирует свою сеть проходит не менее полгода. Тут можа отдохнутью Проверенно.

anonymous
()
Ответ на: комментарий от anonymous

Это конечно не касается отдельных сайтов. На которые уже заплачены деньги ботоведу и исполнение требуется уже сегодня. :)

anonymous
()
Ответ на: комментарий от karasic

Не понятна цель «ботнета», методом перебора подобрать пароль? С длительными банами IP-адресов атакующих

Массовость, кэп. Не получится у «правильного» с fail2ban, крутыми паролями (и так далее) – плевать, получится у кучи неосторожных.

fornlr ★★★★★
()
Ответ на: комментарий от fornlr

получится у кучи неосторожных.

Эт точно.

anonymous
()
Ответ на: комментарий от post-factum

спасибо! Что то новенькое. Ибо испытываю схожие с ТС пролемы

SpaceRanger ★★
()

долбились полгода, порт был в районе 10055. все попытки были на подбор пароля, который вполне естественно отключен (среди разумных парольная ssh-сессия отмирает очень быстро).
долбились несильно. так что просто забил.

а так да. самое эффективное - настраивать port/ping-knocking

pfg ★★★★★
()
Последнее исправление: pfg (всего исправлений: 1)
Ответ на: комментарий от pfg

Порт нужно выше подымать. Сканеры начинают от нуля. :)

anonymous
()
Ответ на: комментарий от nikolnik

Я перенес ssh на другой порт и все прекратилось.

Его скорее всего перебором найдут :)

ssh на другом порту и fail2ban – придется перебирать очень долго.

Im_not_a_robot ★★★★★
()

Вычислить по IP и набить е*льник уже предлагали?

ados ★★★★★
()
Последнее исправление: ados (всего исправлений: 1)
Ответ на: комментарий от Im_not_a_robot

Найдут как выше писали. Бото-засранцы периодически сканят. Не страшно. У меня два порта. Я их меняю.

Боты лохи.

anonymous
()
Ответ на: комментарий от anonymous

Кстати! если сменили порт ssh то в конфиге fail2ban это переправте. Иначе огребете.

anonymous
()
Ответ на: комментарий от Bootmen

Интересно, какой алгоритм у таких ботов? Может быть написать псевдоssh сервер, который будет делать вид, что бот получил доступ, и после чего бот, возможно, успокоится и перестанет стучаться в порт?

Leupold_cat ★★★★★
()
Последнее исправление: Leupold_cat (всего исправлений: 1)
Ответ на: комментарий от anonymous

Сто процентов, что ботоведы читаю Этот форум. И слухают меры против Них. Засранцев. Гы

anonymous
()
Ответ на: комментарий от anonymous

Чем, если не секрет? Траффика оно особенно не создаёт. На безопасность при правильной настройке ни как не влияет.

beastie ★★★★★
()
Ответ на: комментарий от kardjoe

то смысл тратить ресурсы на fail2ban или другие блокировщики особо нет.

Есть. Когда их собирается несколько в секунду, они изрядно жрут ресурсы. Да и трафик.

AS ★★★★★
()
Ответ на: комментарий от nikolnik

Его скорее всего перебором найдут :)

При целенаправленной атаке да. А вот если бот лохов ищет, то может и нет.

Наверное можно расчитывать, что ботам этим массовость нужна в основном, а если ты ssh на другой порт утащил, то, вероятно, и другие меры предусмотрел. В общем, тобой не очень выгодно заниматься, пока другие есть. Я тоже что-то так думал всегда, что смысла убирать нет, но реально не приходят. Хотя запоминать не сильно удобно и, в бошльшинстве, стандартный порт использую.

AS ★★★★★
()
Ответ на: комментарий от NDfan

Кстати, а кто-нибудь передавал данные в abuse провайдера той атакующей машины

По хорошему это надо бы делать, а то, иначе, этим ботнетам совсем лафа. Я пишу иногда.

AS ★★★★★
()
Ответ на: комментарий от anonymous

всем насрать. Толку передавать, что в спортлото писать.

Не всем.

AS ★★★★★
()
Ответ на: комментарий от AS

Хотя запоминать не сильно удобно и,

Натарахтели кучу. Смогу напомнить что топик всетаки о endlessh

anonymous
()
Ответ на: комментарий от anonymous

В системцтл в инит файле нет чего то про лог файл.

Перенаправить из говна в syslog и сделать как обычно.

AS ★★★★★
()
Ответ на: комментарий от Leupold_cat

Может быть написать псевдоssh сервер, который будет делать вид, что бот получил доступ, и после чего бот, возможно, успокоится и перестанет стучаться в порт?

Боты так достали, что уже написали (23.03.2019): endlessh (выше уже упоминали).

UPD: а, имеется ввиду, усовершенствование для endlessh: типа матрица (простенькая виртуальная машина) для бота. Не, такого ещё не слышал.

gag ★★★★★
()
Последнее исправление: gag (всего исправлений: 1)
Ответ на: комментарий от Sylvia

Глянул в auth.log - тихо. Наверное, от региона зависит. Или (ещё) от провайдера.

сейчас находят в течении пары часов - дней.

Жуть.

gag ★★★★★
()
Ответ на: комментарий от anonymous

Зачем на логи пялится? Что там такого? Ну боты ботятся. Ну и черт с ними.

beastie ★★★★★
()
Ответ на: комментарий от Leupold_cat

с большой долей вероятности:

  • сам бот успокоится
  • бот передаст данные в «командный центр»
  • «командный центр» начнёт посылать конкретные команды на выполнение

endlessh в итоге и проще, и дешевле

Ford_Focus ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Admin