LINUX.ORG.RU
решено ФорумAdmin

Странности iptables/ssh. Коннект на закрытый порт.


0

0

Здравствуйте. Сегодня обнаружил в auth.log попытки подбора пароля к ssh. 

Mar 27 03:09:47 stallion sshd[23601]: Failed password for invalid user polycom from 221.192.153.13 port 62560 ssh2
Mar 27 03:09:55 stallion sshd[23604]: Invalid user polycom from 221.192.153.13
Mar 27 03:09:55 stallion sshd[23604]: pam_unix(sshd:auth): check pass; user unknown
Mar 27 03:09:55 stallion sshd[23604]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=221.192.153.13
...
Ничего удивительного, как обычно, китайцы балуются. НО! 22 порт на котором висит sshd закрыт при помощи iptables! 
*filter
:INPUT DROP [24854:1601258]
:FORWARD ACCEPT [8300898:6281135389]
:OUTPUT ACCEPT [8695513:6852241690]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
Проверил, что порт действительно закрыт: приконнектиться по ssh с другой машины не получается. Проверил на руткиты - ничего. Потом решил, что надо бы посмотреть что за пакеты идут на 22 порт и как так получается, что ядро их пропускает: 
tcpdump -n -i eth0 port 22
tcpdump не показал ничего, ни одного пакета, а в auth.log, тем временем, продалжают сыпаться строчки о неудачных попытках ssh-логина. Какая-то мистика, чёрт возьми! Кто-нибудь знает, как такое возможно?
Система - Debian Lenny


А интерфейс eth0 в системе один? Больше ничего нет?

Покажите вывод команды ifconfig или ip addr.

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

А интерфейс eth0 в системе один?

Только loopback и eth0

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether x:x:x:x:x:x brd ff:ff:ff:ff:ff:ff
    inet x.x.x.x/x brd x.x.x.x scope global eth0
    inet6 x::x:x:x:x/x scope link 
       valid_lft forever preferred_lft forever
dumper
() автор топика
Ответ на: комментарий от anonymous

думается это не важно... у него правило весь интерфейс «прикрывают»

p.s. -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT - жестоко :) никакой свободы

SANTA_CLAUS ★★
()
Ответ на: комментарий от sdio

tcpdump -n -i any port 22

Это в tcpdump 4.0.1?

У меня почему-то any не работает: 

~ # tcpdump -i any
tcpdump: SIOCGIFHWADDR: No such device
# tcpdump -h
tcpdump version 3.9.8
libpcap version 1.0.0

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

У меня почему-то any не работает

Странно. Что за дистрибутив?

man 8 tcpdump

...
On Linux systems with 2.2 or later kernels, an interface argument of ‘‘any’’ can be used to capture packets from all interfaces.
...

dumper
() автор топика

По поводу изначального вопроса.
Допрос с пристрастием выявил, что на проблемной машине недавно слетела файловая система, а после fsck осталось много файлов, в которых блоки данных были забиты нулями. Думаю, проблема была из-за этого. Сейчас система переустановлена и ядро ловит все пакеты. Всем спасибо.

dumper
() автор топика
Ответ на: комментарий от edigaryev

Проблема решилась установкой libpcap 1.0.1: 

~ # tcpdump -D
1.eth0
2.wlan0
3.usbmon1 (USB bus number 1)
4.usbmon2 (USB bus number 2)
5.usbmon3 (USB bus number 3)
6.usbmon4 (USB bus number 4)
7.usbmon5 (USB bus number 5)
8.usbmon6 (USB bus number 6)
9.usbmon7 (USB bus number 7)
10.any (Pseudo-device that captures on all interfaces)
11.lo

edigaryev ★★★★★
()
Ответ на: комментарий от edigaryev

А какая у вас версия libpcap?

У меня - 0.9.8
Но «any» девайс поддерживается libpcap с версии 0.6, так что это проблемы конкретной сборки.

dumper
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin