LINUX.ORG.RU
ФорумGeneral

Не смог залогиниться в Rapbberry Pi по SSH, подозрительная сетевая активность.

 ,


0

2

Прошу прощения за много букв, я новичок (конкретный). Помогите пожалуйста разобраться, что произошло, чтобы в следующий раз я был чуть умнее. На чистую, обновленную установку Raspbian (Debian), на которой был только включен SSH, я поставил Apache. На своем домашнем маршрутизаторе создал правило NAT, весь входящий трафик TCP/80 направлять в малину. Был доволен как слон, из интернета заходил на главную страницу своего «сайта». Логин и пароль в малине были по умолчанию: pi/raspberry. Сегодня смотрю на нее, а светодиоды, в частности линк на ней моргает чересчур активно и постоянно. Я открываю putty, пытаюсь залогиниться, получаю ответ permission denied. Просто на ровном месте. Подключаю монитор, и вижу что малина постоянно куда-то (на совершенно разные IP) что-то направляет. rc.local [377] потом что-то на ххх.ххх.ххх.ххх : 22 (порт) с каким-то password-key.... Простите, но сфотографировать я не догадался, потому что был в недоумении. И запомнить много не получилось, строки быстро бежали. В некоторых случаях получал ответ permission denied. Сразу не поняв, я с компьютера зашел в консоль маршрутизатора и запретил малине доступ в интернет. Пошли ответы time out. Потом пошли запросы другого формата, какие-то секунды, проценты, скорость, все были 0.00. Потом, я так понял, была попытка перезапустить SSH, потому что в строках встречалась эта аббревиатура. Естественно, не сообразив, что делать, я плюнул, вытащил флешку и перемонтировал заново. Хотя было интересно наблюдать, но мне нужна работающая малина. Правило NAT в маршрутизаторе сейчас отключил. Вот сижу теперь и думаю, что это было? Кто-то подобрал пароль извне и наделал мне в малине дел? Да, но я же на маршрутизаторе открыл только 80 порт? Как они смогли попасть к малине через NAT и межсетевой экран? Из модулей я ставил только PHP. И все. Хочу из своей малины сделать сервер для «умной дачи», и чтобы также работал веб-сервер, чтобы можно было удаленно мониторить показания датчиков, которые приходят с дачи.

IP белый?
iptables -vL в студию.
iptables -vL -t nat в студию.
ip6tables -vL в студию.
ip ro sh
Да и смотри iptraf-ng уже.

hbars ★★★★★
()
Последнее исправление: hbars (всего исправлений: 1)
Ответ на: комментарий от hbars

Да, белый. зарегистрирован также в dynDNS (no-ip), сейчас система новая и чистая, вообще ниче не ставил, ssh вкл

pi@raspberrypi:~ $ sudo iptables -vL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

pi@raspberrypi:~ $ sudo iptables -vL -t nat

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

pi@raspberrypi:~ $ sudo ip6tables -vL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

pi@raspberrypi:~ $ sudo ip ro sh

default via 192.168.1.1 dev eth0 src 192.168.1.100 metric 202 192.168.0.0/16 dev eth0 proto kernel scope link src 192.168.1.100 metric 202

ArtemKolesnikov
() автор топика

весь входящий трафик TCP/80 направлять в малину. Был доволен как слон, из интернета заходил на главную страницу своего «сайта»

ну вот и ломанули тебя через http сервер

targitaj ★★★★★
()
Ответ на: комментарий от targitaj

да уж

Мужики, короче мне стыдно это писать, но отчитаюсь для закрытия вопроса. Открыл я запись того правила NAT...Нихрена не TCP/80, КАК Я БЫЛ УВЕРЕН, а все TCP/UDP (все порты). Вот я лошара! Я так сделал чтоб проверить работу сервера и датчиков и забыл, что у меня открыто все. Представляю, как ржал китаец или еще кто, залогинившийся в мою малину, выставленную голой на весь мир.

ArtemKolesnikov
() автор топика
Ответ на: да уж от ArtemKolesnikov

то не китаец наверняка был, а бот

Harald ★★★★★
()
Ответ на: да уж от ArtemKolesnikov

ааа, ну бывает. Внимательнее будь. А то ломанёт твоя машина чего-нибудь, а спросят с тебя.

targitaj ★★★★★
()
Ответ на: да уж от ArtemKolesnikov

Ну эт нормально.

127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:27:18 +0300] "GET /0e9efb01a656c00
ea4c45d70f5c3deb9/103.jpg HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux
x86_64; rv:57.0) Gecko/20100101 Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:27:18 +0300] "GET /kall.json?c=kil
lRivals HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) G
ecko/20100101 Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:27:18 +0300] "GET /0f0284f72027bfe
 HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) Gecko/20
100101 Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:27:18 +0300] "GET /0f0284f72027bfe
20626 HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) Gec
ko/20100101 Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:27:19 +0300] "GET /dxcom HTTP/1.1"
 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) Gecko/20100101 Fir
efox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:27:19 +0300] "GET /gearbest HTTP/1
.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) Gecko/20100101
Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:27:19 +0300] "GET /banggood HTTP/1
.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) Gecko/20100101
Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:30:05 +0300] "GET /0e9efb01a656c00
ea4c45d70f5c3deb9/284.jpg HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux
x86_64; rv:57.0) Gecko/20100101 Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:30:05 +0300] "GET /kall.json?c=kil
lRivals HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) G
ecko/20100101 Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:30:05 +0300] "GET /0f0284f72027bfe
20626 HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) Gec
ko/20100101 Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:30:05 +0300] "GET /gearbest HTTP/1
.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) Gecko/20100101
Firefox/57.0"
127.0.0.1 aliexpresskupit.ru - [22/Jan/2018:15:30:06 +0300] "GET /0f0284f72027bfe
 HTTP/1.1" 404 345 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:57.0) Gecko/20
100101 Firefox/57.0"

hbars ★★★★★
()
Ответ на: комментарий от targitaj

ааа, ну бывает. Внимательнее будь. А то ломанёт твоя машина чего-нибудь, а спросят с тебя.

Предлагаешь уже output фильтровать?

hbars ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General