LINUX.ORG.RU
ФорумSecurity

В логах постоянно такое.....


0

1

Feb 12 19:47:32 kesha sshd[18628]: Failed password for root from 200.195.45.60 port 41584 ssh2
Feb 12 19:48:00 kesha sshd[18632]: Invalid user admin from 200.195.45.60
Feb 12 19:48:01 kesha sshd[18632]: reverse mapping checking getaddrinfo for 200195045060-psa-mc-overnet.com.br failed - POSSI
BLE BREAK-IN ATTEMPT!
Feb 12 19:48:01 kesha sshd[18632]: (pam_unix) check pass; user unknown
Feb 12 19:48:01 kesha sshd[18632]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=200.195.45.6
0
Feb 12 19:48:03 kesha sshd[18632]: Failed password for invalid user admin from 200.195.45.60 port 41704 ssh2
Feb 12 19:48:11 kesha sshd[18636]: Invalid user administrator from 200.195.45.60
Feb 12 19:48:12 kesha sshd[18636]: reverse mapping checking getaddrinfo for 200195045060-psa-mc-overnet.com.br failed - POSSI
BLE BREAK-IN ATTEMPT!
Feb 12 19:48:12 kesha sshd[18636]: (pam_unix) check pass; user unknown
Feb 12 19:48:12 kesha sshd[18636]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=200.195.45.6
0
Feb 12 19:48:14 kesha sshd[18636]: Failed password for invalid user administrator from 200.195.45.60 port 41802 ssh2
Feb 12 19:53:01 kesha CRON[18644]: (pam_unix) session opened for user mail by (uid=0)
Feb 12 19:53:01 kesha CRON[18644]: (pam_unix) session closed for user mail
Feb 12 20:01:26 kesha sshd[18650]: Invalid user test from 87.252.2.182
Feb 12 20:01:26 kesha sshd[18650]: Address 87.252.2.182 maps to osm2182.oxyd.net, but this does not map back to the address -
POSSIBLE BREAK-IN ATTEMPT!
Feb 12 20:01:26 kesha sshd[18650]: (pam_unix) check pass; user unknown
Feb 12 20:01:26 kesha sshd[18650]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=87.252.2.182

Feb 12 20:01:28 kesha sshd[18650]: Failed password for invalid user test from 87.252.2.182 port 33896 ssh2
Feb 12 20:01:31 kesha sshd[18654]: Invalid user guest from 87.252.2.182
Feb 12 20:01:31 kesha sshd[18654]: Address 87.252.2.182 maps to osm2182.oxyd.net, but this does not map back to the address -
POSSIBLE BREAK-IN ATTEMPT!
Feb 12 20:01:31 kesha sshd[18654]: (pam_unix) check pass; user unknown
Feb 12 20:01:31 kesha sshd[18654]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=87.252.2.182



Причем все время с разных IP. Что делать? Забить на это?

★★

ломятся на SSH? поставь макс. кол-во соединение в промежуток времени или дропни в iptables...

PycmaM
()
Ответ на: комментарий от birdie

Не нужно наглухо закрывать, это не выход! Ведь самому может понадобится удаленный доступ(если это конечно не домашний десктоп)

На тебе правила полезные:

iptables -N SSHBRUT
iptables -A SSHBRUT -j LOG --log-level 7 --log-prefix "BROUTFORCE:"
iptables -A SSHBRUT -j REJECT #(эффективнее TARPIT вместо REJECT)

iptables -N SSHCONNECT
iptables -A SSHCONNECT -j LOG --log-level 7 --log-prefix "SSHINCON:"

iptables -I INPUT -p TCP --dport 22 -i ${WAN} -j ACCEPT
iptables -I INPUT -p TCP --dport 22 -i ${WAN} -m state --state NEW \
-m recent --set -J SSHCONNECT
iptables -I INPUT -p TCP --dport 22 -i ${WAN} -m state NEW -m \
recent --update --seconds 600 --hitcount 2 -j SSHBRUT

T-34
()
Ответ на: комментарий от T-34

Да еще подбравь конвиг ssh демона! MaxAuthTries 1

И у мудачья будет 4 попытки ввести правильный пароль (в iptables разрешено 2 входящих соединения в заданный промежуток времени, и SSH , будет давать 2 попытки в рамках одного соединения)

T-34
()

Накрайняк - переназнач порт дефолтовый, роботов и червей будет ломицца меньше.... это в качестве альтернативы..

Brigadir
()

Угу. Ночь... Мягко шуршат винты, поют кулера. В верхине порты привычно ломятся черви administrator и admin. В 1026 и 1027 с великим энтузиазмом наяривают китайцы, иногда даже кажется, что лично, вручную и все. Люблю, когда всё нормально...

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security