LINUX.ORG.RU

Они хотят взломать Кенни! (Рандомный брут сервака)

 ,


2

1

Полноценно я начал заниматься линухом только ~месяц назад. Так как мне особо больших мощностей не надо я его собрал из кусков списанных на работе отца офисных компов, крякнул, плюнул и крепко смотал скотчем(собсна, от сюда и название сервака — kenny), поставил центос, накатил в инсталлере гномовскую гую, купил ru домен итп.

Спустя некоторое время я обнаружил, что при удачном входе на рута через su я получаю что то такое:

Последний вход в систему:Вс июл 24 12:41:34 YEKT 2016на pts/0
Последняя неудачная попытка входа в систему:Вс июл 24 17:41:52 YEKT 2016с 77.243.115.130на ssh:notty
Число неудачных попыток со времени последнего входа: 35.

[kopromag@kenny ~]$ cat /var/log/secure | tail

Jul 24 17:41:34 kenny sshd[7081]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=77.243.115.130 user=root
Jul 24 17:41:34 kenny sshd[7081]: pam_succeed_if(sshd:auth): requirement «uid >= 1000» not met by user «root»
Jul 24 17:41:36 kenny sshd[7081]: Failed password for invalid user root from 77.243.115.130 port 40939 ssh2
Jul 24 17:41:36 kenny sshd[7081]: Received disconnect from 77.243.115.130: 11: Bye Bye [preauth]
Jul 24 17:41:38 kenny sshd[7084]: reverse mapping checking getaddrinfo for client-115-243-77.iren.ru [77.243.115.130] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 24 17:41:38 kenny sshd[7084]: User root from 77.243.115.130 not allowed because none of user's groups are listed in AllowGroups
Jul 24 17:41:38 kenny sshd[7084]: input_userauth_request: invalid user root [preauth]
Jul 24 17:41:39 kenny unix_chkpwd[7086]: password check failed for user (root)

Ок. Я помню что я настраивал. PermitRootLogin no; AllowGroups sshaccess Попробовал извне залогиниться за рута с правильным паролем — посылает. Хорошо. На данный момент мне уже надоело что всякие иркутские собратья пытаются меня ломануть и решил поставить sshguard и logwatch от такого дерьма.

Чем вы пользуетесь? Что посоветуете?

Ломать тебя будут постоянно, это нормально. Вот например мой домашний веб-сервер:

atomserv ~ # zcat /var/log/nginx/access.* | grep -i phpmyadmin | head -n 20
58.221.46.206 - - [19/Jul/2016:07:54:30 +0300] "GET /phpMyAdmin HTTP/1.1" 301 184 "http://95.27.67.32/phpMyAdmin" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
58.221.46.206 - - [19/Jul/2016:07:54:32 +0300] "GET /phpMyAdmin HTTP/1.1" 404 6270 "http://95.27.67.32/phpMyAdmin" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
178.238.224.98 - - [19/Jul/2016:12:27:24 +0300] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
178.238.224.98 - - [19/Jul/2016:12:27:24 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
5.154.191.155 - - [21/Jul/2016:08:02:07 +0300] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
5.154.191.155 - - [21/Jul/2016:08:02:07 +0300] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
13.76.140.156 - - [24/Jul/2016:02:40:23 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
13.76.140.156 - - [24/Jul/2016:02:40:24 +0300] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
13.76.140.156 - - [24/Jul/2016:02:40:24 +0300] "GET /PHPMYADMIN/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
159.8.64.60 - - [16/May/2016:07:12:19 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
159.8.64.60 - - [16/May/2016:07:12:19 +0300] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "ZmEu"
185.40.4.41 - - [17/May/2016:03:10:29 +0300] "GET //php/phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
185.40.4.41 - - [17/May/2016:03:10:29 +0300] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
185.40.4.41 - - [17/May/2016:03:10:29 +0300] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
94.102.58.3 - - [18/May/2016:19:50:22 +0300] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
94.102.58.3 - - [18/May/2016:19:50:22 +0300] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
84.200.84.137 - - [21/May/2016:18:10:56 +0300] "GET //admin/phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
84.200.84.137 - - [21/May/2016:18:10:56 +0300] "GET //typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
84.200.84.137 - - [21/May/2016:18:10:56 +0300] "GET //web/phpMyAdmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"
84.200.84.137 - - [21/May/2016:18:10:57 +0300] "GET //xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 301 184 "-" "-"

atomserv ~ # zcat /var/log/nginx/access.* | grep -i phpmyadmin | wc -l
1094
Не парься на эту тему и доверяй своему дистрибутиву. Ну и апдейты качай конечно же.

morse ★★★★★ ()

Поменять ссш порт, чтоб уменьшить количество мусора в логах и не париться.

xtraeft ★★☆☆ ()

поставил центос, накатил в инсталлере гномовскую гую, купил ru домен итп.

самое время появится в новостях в качестве иноватора
шутю

прям ностальгия
все эти смены стандартных портов и добавление правил в iptables ...

anTaRes ★★★★ ()

Как корабль назовёшь, так он и поплывёт.

А вообще первый комментарий.

a1batross ★★★★★ ()
Ответ на: комментарий от anTaRes

гую ставил ради первого запуска так как не был уверен что смогу всё с консоли сделать.

прям ностальгия

да?)) а на чём у тебя серв щас?

Alex_P ()
Ответ на: комментарий от Alex_P

это было про то, как хоть малость открытый в мир айпишник страдает
сразу
просто сначала меняй 22 на подальше (9922, наугад)
далее по мере необходимости

после можешь попробовать страдать мазохизмом, пропускать остальные атаки , которые сами по себе будут обламываться в виду их направленности

либо пытаться отлавливать все через фильтр

проще учесть что в тебя постоянно летят камни и построить соотв. стену

anTaRes ★★★★ ()

Посоветую использовать достаточно длинные и случайные пароли и не забивать голову ерундой.

Legioner ★★★★★ ()

Чем вы пользуетесь?

fail2ban


Что посоветуете?

Заплатки безопасности не забывать ставить

XMs ★★★★★ ()
Ответ на: комментарий от XMs

т.е. если я не зафейлюсь то могу спокойно залогинится в систему?

anTaRes ★★★★ ()
Ответ на: комментарий от Legioner

Любишь читать километровые логи? Или вообще их не читаешь?

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

Умею настраивать систему логгирования так, чтобы читать то, что мне нужно.

Legioner ★★★★★ ()
Ответ на: комментарий от anTaRes

Ты про fail2ban? Ну да, если уложишься в сколько-то попыток (количество, естественно, настраивается), то спокойно логинишься, если нет — бан на заданное время

XMs ★★★★★ ()

Поскольку fail2ban, пусть и с небольшой вероятностью, может залочить и меня (мало ли, кто со мной IP шарит в текущий момент), просто запрещаю вход по паролям.

x3al ★★★★★ ()

Именно поэтому на моём домашнем компе SSH ВСЕГДА висел на нестандартном порту. Плюс авторизация по ключам - категорически рекомендую.

WereFox ★☆ ()

fail2ban поставить, настроить и забыть.

King_Carlo ★★★★★ ()
Ответ на: комментарий от x3al

Поскольку fail2ban, пусть и с небольшой вероятностью, может залочить и меня

Я-бы сказал что эта вероятность мизерна даже если ты ходишь на свой сервак через публичный китайский прокси.

MrClon ★★★★★ ()
Ответ на: комментарий от WereFox

На уютненьком локалхостике это вполне себе вариант, а вот когда серверов становится, скажем, десяток то запоминать нестандартные порты становится напряжно.
Можно использовать один и тот-же порт на всех серверах, но это прокатит пока этот десяток серверов только твой. Если нужно работать с серверами которые настраивал кто-то ещё то без запоминания портов не обойтись.
Так-что ну нафиг. PermitRootLogin no, вменяемый пароль, fail2ban и норм.

MrClon ★★★★★ ()

Авторизацию только по ключам и пусть ломятся сколько влезет.

gregz ()
Ответ на: комментарий от MrClon

Ну так вероятность того, что fail2ban будет полезным — нулевая. Поэтому к чёрту его.

x3al ★★★★★ ()
Ответ на: комментарий от x3al

Это с чего-бы? За достаточно долгое время можно подобрать даже адекватный пароль. Использование fail2ban СИЛЬНО увеличивает необходимое время. Ну и плюс моральное удовлетворение от забана супостатов (:
А ресурсов fail2ban жрёт мало, так что пусть себе стоит.

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

За достаточно долгое время можно подобрать даже адекватный пароль.

Хотя бы 8 символьный то? Боюсь, к тому времени ты умрешь пока подбирать будешь.

xtraeft ★★☆☆ ()
Ответ на: комментарий от xtraeft

Проблема с хорошими паролями в том что все знаю что их нужно использовать, почти все говорят что их используют, но при этом перебор вариантов вроде Qwerty1 всё-ещё остаётся эффективным (:
Даже если твой пароль надёжен, трудно быть уверенным во всех остальных людях имеющих доступ к серверу.
В общем ну нах, с f2b как-то спокойнее.

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Вход по паролям не нужен же. А подбирать ключ придётся до тепловой смерти вселенной.

fail2ban — иллюзия защиты, зависящая от работоспообности логгера и добавляющая сложности стеку.

Использование fail2ban СИЛЬНО увеличивает необходимое время.

Использование fail2ban НИКАК не увеличивает необходимое время, поскольку сейчас есть ботнеты-в-аренду, начиная с легальных (которые мелькают тут в /job/) и заканчивая криво настроенными роутерами.

x3al ★★★★★ ()
Ответ на: комментарий от WereFox

Плюсую этого товарища: нестандартный порт + авторизация по ключу = ought to be enough for anybody

Twissel ★★★★★ ()
Ответ на: комментарий от MrClon

запоминать нестандартные порты становится напряжно.

~/.ssh/config в помощь. Или remmina/pac manager/etc...

Deleted ()
Ответ на: комментарий от MrClon

На уютненьком локалхостике это вполне себе вариант

А что, у ТС суровый ынтырпрайз?

WereFox ★☆ ()
Ответ на: комментарий от gregz

+100500 и не надо SSH на другой порт перевешивать.

уже лет 15 ломятся безрезультатно. Да и ключ у меня с парольной фразой если вдруг я его потяряю/украдут.

alex_sim ★★ ()
Последнее исправление: alex_sim (всего исправлений: 2)
Ответ на: комментарий от x3al

Вход по ключам это хорошо, но не всегда удобно таскать их с собой. Из-за этого я так и не перешёл на него повсеместно.

Ботнет это конечно хорошо, но брутить даже говнопароль пароль вида Toly@n-666 в 10000 потоков имея по 5 попыток в час/день/год на поток всё-равно как-то не очень. Разве-что брутить именно схему имя-сепаратор-цифра.

MrClon ★★★★★ ()
Ответ на: комментарий от WereFox

У меня вот совсем не суровый ынтырпрайз, скорее наоборот — мимимишный колхоз. Но в этом колхозе я с ходу насчитал 9 серверов на которые я ходу регулярно и ещё есть сколько-то на которые я хожу редко и потому с ходу не вспоминаю. Перспектива запоминать девять нестандартных портов меня как-то не прельщает. То-же самое с перспективой таскать с собой повсюду ~/.ssh/config

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

придумай свой личный нестандартный порт и юзай его везде
песня из 90 вспомнилась: ты юзай его везде, 1836 ...
в чем проблема?

в том что кто-то наконфигурить, а потом крен разберешься? так ты уже сам это сделал.

anTaRes ★★★★ ()

Откуда вы только такие долбанутые заголовки берёте. Какой ещё нафиг Кенни?

Deleted ()
Ответ на: комментарий от anTaRes

и, еще раз, такое телодвыжение отбивает ровно одну атаку
но в большинстве своем боты ходят на стандартные порты, ткчто 80, 22 ...

anTaRes ★★★★ ()
Ответ на: комментарий от anTaRes

Off

песня из 90 вспомнилась: ты юзай его везде,

Ты цалуй меня везде, 18 мне уже ;)

alex_sim ★★ ()
Ответ на: комментарий от anTaRes

Уже писал об этом выше по ветке. Не только на свои сервера ходить надо. Да и людям которым надо ходить на мои сервера надо ходить не только на мои сервера. На нафиг такой зоопарк.

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Ты сейчас говоришь о себе. У ТС - один полудохлый сервер. Если он на нём не запомнит нестандартный порт - то ему уже ничто не поможет.

запоминать девять нестандартных портов

А использовать ОДИН порт тебе не позволяет религия?

WereFox ★☆ ()
Ответ на: комментарий от MrClon

Если на твой сервер ходят другие люди - вот тогда менять порт уже вредно. Но тут явно не тот случай.

WereFox ★☆ ()
Ответ на: комментарий от WereFox

Порт менять — не то что я бы хотел так как пароли достсточно сложные просмотрщик логов есть. И да! fail2ban великолепная игрушка!

Status for the jail: sshd
|- Filter
| |- Currently failed: 1
| |- Total failed: 77
| `- Journal matches: _SYSTEMD_UNIT=sshd.service + _COMM=sshd
`- Actions
|- Currently banned: 0
|- Total banned: 20
`- Banned IP list:

прям глаз радует. это за одну ночь то)

И кстать. Что там у нас есть с аналагами logwatch? Что сами юзаете?

Alex_P ()

1. Нестандартный порт обязательно, даже не обсуждается, всегда и везде.

2. Вход только по ключам.

3. fail2ban галимое костыльное ненужное решение.

4. Для реальных параноиков: закрыть порт любым удобным port knock-ером. Или настроить VPN, и ssh уже только внутри VPN-а (порт VPN-а так же можно закрыть knock-ером).

5. На 22 порту повесить honeypot и ловить лулзы.

anonymous ()

А будешь продолжать слушать всяких клонов и юзать стандартный порт:

тебя отсканят и занесут в базу, а потом, как только найдут очередную дырку в openssh-e или очередной shellshock, к те залетят быстрее, чем ты обновишься, поставят kernel rootkit, и будут юзать тебя в своих интересах, о чем ты скорее всего вообще никогда не догадаешься.

anonymous ()
Ответ на: комментарий от Alex_P

пароли достсточно сложные

man Авторизация по ключам.

WereFox ★☆ ()
Ответ на: комментарий от x3al

просто запрещаю вход по паролям

Есть такая весёлая такая тема, что при обновлении openssh по старым ключам ты можешь не зайти, а парольный вход отключен. Хорошо, если есть ikvm/ipmi/ilo/drac.

Dimez ★★★★★ ()
Ответ на: комментарий от Dimez

это же центось, такие мажорные изменения вряд ли прилетят в рамках обычного апдейта безопасности

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.