LINUX.ORG.RU

Компьютер подвергся атаке по ssh


0

0

Доброго дня, уважаемые гуру. Нужна Ваша помощь.

Для возможности удалённого подключения к машине открыл 22 порт. Побаловался где-то с неделю-другую и уже собирался закрывать за ненадобностью.

Но не успел :-( Придя сегодня с работы увидел следующее:
[313732.680019] ssh-scan[14226]: segfault at 0 ip 08048e33 sp bffa7900 error 4 in ssh-scan[8048000+cd000]
[313732.684865] ssh-scan[14225]: segfault at 0 ip 08048e33 sp bffa7900 error 4 in ssh-scan[8048000+cd000]
[313732.690543] ssh-scan[14223]: segfault at 0 ip 08048e33 sp bffa7900 error 4 in ssh-scan[8048000+cd000]
.....
Полный dmesg здесь: http://ifolder.ru/12367032 (пароль - ssh).

Порт уже закрыл. Других, слава б-гу, не открывал.
Подскажите/расскажите, как расшифровать вывод консоли? Как я понял, попытка подключения так и не удалась?
Буду рад ссылкам на соответствующую литературу и/или статьи.

Debian Lenny, если это играет значение.


Мне только что высказали предположение, что никакая это не атака, а, на самом деле, -- непрекращающиеся segfault'ы. Говорят, что могло произойти из-за временного отключения интернета(?). Они, в общем-то и раньше случались, но довольно редко и не в таком количестве. Да и что это за странный ssh-scan?

vkapas
() автор топика

Выглядит так, как будто кто-то залез на твой сервер и установил туда своего бота (ssh-scan, судя по всему он так же сканирует сеть на наличие уязвимых серверов с ssh). И этот бот периодически глючит и срёт в лог.

Deleted
()
Ответ на: комментарий от vkapas

ifolder не открывается, но по всем признакам mironov_ivan прав. У Вас наверняка какой-то руткит заинсталлен. Проверяйте систему с live-cd
при помощи rkhunter,chkrootkit и пр.

Valmont ★★★
()

Спасибо за советы. Сообщения о неудачной авторизации перестали появляться сразу после закрытия 22-го порта. Всё-таки, ломились извне.

vkapas
() автор топика
Ответ на: комментарий от vkapas

Мдя. Если таки закрыть глаза, то бомжей, преступлений и прочего не видно. Очевидно, что глаза открывать не надо, тогда все будет в порядке.

Valmont ★★★
()
Ответ на: комментарий от Valmont

>Мдя. Если таки закрыть глаза, то бомжей, преступлений и прочего не видно. Очевидно, что глаза открывать не надо, тогда все будет в порядке.

Вы это к чему?

vkapas
() автор топика
Ответ на: комментарий от vkapas

Это к тому, что есть проблема с перебором паролей, но она здесь сейчас вторична. Перебор паролей делается на любой открытый ssh. Но если Вы его просто закроете и решите, что это достаточно - это будет довольно плохо. Потому как в топике вы приводили ошибки, которые свидетельствуют о другой проблеме.

Valmont ★★★
()
Ответ на: комментарий от Valmont

>Это к тому, что есть проблема с перебором паролей

Тогда следует ставить авторизации по достаточно длинным ключам и вешать на высокий порт.

feanor ★★★
()
Ответ на: комментарий от feanor

>>Это к тому, что есть проблема с перебором паролей

>Тогда следует ставить авторизации по достаточно длинным ключам и вешать на высокий порт.

fail2ban должен помочь от брута ssh.

Turbo_Mascal
()
Ответ на: комментарий от feanor

2feanor&Turbo_Mascal

То есть, ни вождь Нолдор, ни Turbo_Mascal не удосужились прочитать топик полностью? Сие есть прискорбно.

Valmont ★★★
()
Ответ на: комментарий от Valmont

2Valmont:

В первую очередь меня интересовал брут и его возможные последствия. С сегфолтами сейчас разбираюсь тоже, я про них не забыл, не беспокойтесь :-) За советы спасибо.

vkapas
() автор топика

>открыл 22 порт

Вот так делать не нужно было. Нужно, как минимум:

* Сильный пароль.

* Запретить рутовый логин по ssh.

* Назначить другой порт. Что-нибудь навроде 8294.

wyldrodney
()
Ответ на: комментарий от wyldrodney

< * Назначить другой порт. Что-нибудь навроде 8294.

А толку? Любой сканер определит этот порт.

* Сильный пароль.

* Запретить рутовый логин по ssh.

А вот этого достаточно.

Absolute
()
Ответ на: комментарий от Absolute

> Любой сканер определит этот порт.

поставить любой IDS и банить в DROP на пару часов за попытку скана. либо iptables покрутить.

isden ★★★★★
()
Ответ на: комментарий от wyldrodney

>> Любой сканер определит этот порт.

> Не в любом случае этот сканер бует запущен. А лишним это никак не будет.


+1

sshd на нестандартных портах ищут только если хотят взять именной твой хост, а такое случается очень редко. А с локалхостами вообще почти никогда. Большинство же попыток логина идёт от ботов, которые тыкаются в стандартный порт на случайный адрес, и если ответа нет, то проходят мимо.

Deleted
()
Ответ на: комментарий от Deleted

+1 переназначение порта и в логах чистота. До этого постоянно ломились. IP были разные, подбор пользаков одинаковый. fail2ban справлялся, но срач в логах раздражал.

zooooo
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.