Компьютер подвергся атаке по ssh

0

0

Доброго дня, уважаемые гуру. Нужна Ваша помощь.

Для возможности удалённого подключения к машине открыл 22 порт. Побаловался где-то с неделю-другую и уже собирался закрывать за ненадобностью.

Но не успел :-( Придя сегодня с работы увидел следующее:
[313732.680019] ssh-scan[14226]: segfault at 0 ip 08048e33 sp bffa7900 error 4 in ssh-scan[8048000+cd000]
[313732.684865] ssh-scan[14225]: segfault at 0 ip 08048e33 sp bffa7900 error 4 in ssh-scan[8048000+cd000]
[313732.690543] ssh-scan[14223]: segfault at 0 ip 08048e33 sp bffa7900 error 4 in ssh-scan[8048000+cd000]
.....
Полный dmesg здесь: http://ifolder.ru/12367032 (пароль - ssh).

Порт уже закрыл. Других, слава б-гу, не открывал.
Подскажите/расскажите, как расшифровать вывод консоли? Как я понял, попытка подключения так и не удалась?
Буду рад ссылкам на соответствующую литературу и/или статьи.

Debian Lenny, если это играет значение.

Ссылка

←	[параноя] Насколько безопасен Jabber.

Passwd или как сменить пароль на Ubuntu

→

Мне только что высказали предположение, что никакая это не атака, а, на самом деле, -- непрекращающиеся segfault'ы. Говорят, что могло произойти из-за временного отключения интернета(?). Они, в общем-то и раньше случались, но довольно редко и не в таком количестве. Да и что это за странный ssh-scan?

vkapas
(30.05.09 00:46:35 MSD) автор топика

Ссылка

Кстати, auth.log за 29 число: http://ifolder.ru/12374089 (пароль - ssh).

Теперь, кажется, попытка взлома очевидна.

vkapas
(30.05.09 14:10:08 MSD) автор топика

Выглядит так, как будто кто-то залез на твой сервер и установил туда своего бота (ssh-scan, судя по всему он так же сканирует сеть на наличие уязвимых серверов с ssh). И этот бот периодически глючит и срёт в лог.

Deleted
(30.05.09 14:15:27 MSD)

Ссылка

Ответ на: комментарий от vkapas 30.05.09 14:10:08 MSD

ifolder не открывается, но по всем признакам mironov_ivan прав. У Вас наверняка какой-то руткит заинсталлен. Проверяйте систему с live-cd
при помощи rkhunter,chkrootkit и пр.

Valmont ★★★
(31.05.09 21:04:23 MSD)

Ссылка

Спасибо за советы. Сообщения о неудачной авторизации перестали появляться сразу после закрытия 22-го порта. Всё-таки, ломились извне.

vkapas
(31.05.09 22:36:52 MSD) автор топика

Ответ на: комментарий от vkapas 31.05.09 22:36:52 MSD

Мдя. Если таки закрыть глаза, то бомжей, преступлений и прочего не видно. Очевидно, что глаза открывать не надо, тогда все будет в порядке.

Valmont ★★★
(01.06.09 13:36:07 MSD)

Ответ на: комментарий от Valmont 01.06.09 13:36:07 MSD

>Мдя. Если таки закрыть глаза, то бомжей, преступлений и прочего не видно. Очевидно, что глаза открывать не надо, тогда все будет в порядке.

Вы это к чему?

vkapas
(02.06.09 01:50:13 MSD) автор топика

Ответ на: комментарий от vkapas 02.06.09 01:50:13 MSD

Это к тому, что есть проблема с перебором паролей, но она здесь сейчас вторична. Перебор паролей делается на любой открытый ssh. Но если Вы его просто закроете и решите, что это достаточно - это будет довольно плохо. Потому как в топике вы приводили ошибки, которые свидетельствуют о другой проблеме.

Valmont ★★★
(02.06.09 10:44:15 MSD)

Ответ на: комментарий от Valmont 02.06.09 10:44:15 MSD

>Это к тому, что есть проблема с перебором паролей

Тогда следует ставить авторизации по достаточно длинным ключам и вешать на высокий порт.

feanor ★★★
(02.06.09 15:29:30 MSD)

Ответ на: комментарий от feanor 02.06.09 15:29:30 MSD

>>Это к тому, что есть проблема с перебором паролей

>Тогда следует ставить авторизации по достаточно длинным ключам и вешать на высокий порт.

fail2ban должен помочь от брута ssh.

Turbo_Mascal ★
(02.06.09 23:14:12 MSD)

Ссылка

Ответ на: комментарий от feanor 02.06.09 15:29:30 MSD

2feanor&Turbo_Mascal

То есть, ни вождь Нолдор, ни Turbo_Mascal не удосужились прочитать топик полностью? Сие есть прискорбно.

Valmont ★★★
(03.06.09 10:55:06 MSD)

Ответ на: комментарий от Valmont 03.06.09 10:55:06 MSD

2Valmont:

В первую очередь меня интересовал брут и его возможные последствия. С сегфолтами сейчас разбираюсь тоже, я про них не забыл, не беспокойтесь :-) За советы спасибо.

vkapas
(04.06.09 01:43:21 MSD) автор топика

Ссылка

>открыл 22 порт

Вот так делать не нужно было. Нужно, как минимум:

* Сильный пароль.

* Запретить рутовый логин по ssh.

* Назначить другой порт. Что-нибудь навроде 8294.

wyldrodney ☆
(07.06.09 18:13:26 MSD)

Ответ на: комментарий от wyldrodney 07.06.09 18:13:26 MSD

< * Назначить другой порт. Что-нибудь навроде 8294.

А толку? Любой сканер определит этот порт.

* Сильный пароль.

* Запретить рутовый логин по ssh.

А вот этого достаточно.

~~Absolute~~
(13.06.09 13:32:58 MSD)

Ответ на: комментарий от Absolute 13.06.09 13:32:58 MSD

> Любой сканер определит этот порт.

поставить любой IDS и банить в DROP на пару часов за попытку скана. либо iptables покрутить.

isden ★★★★★
(13.06.09 14:01:33 MSD)

Ссылка

Ответ на: комментарий от Absolute 13.06.09 13:32:58 MSD

>Любой сканер определит этот порт.

Не в любом случае этот сканер бует запущен. А лишним это никак не будет.

wyldrodney ☆
(14.06.09 08:48:28 MSD)

Ответ на: комментарий от wyldrodney 14.06.09 08:48:28 MSD

>> Любой сканер определит этот порт.

> Не в любом случае этот сканер бует запущен. А лишним это никак не будет.

+1

sshd на нестандартных портах ищут только если хотят взять именной твой хост, а такое случается очень редко. А с локалхостами вообще почти никогда. Большинство же попыток логина идёт от ботов, которые тыкаются в стандартный порт на случайный адрес, и если ответа нет, то проходят мимо.

Deleted
(14.06.09 09:01:24 MSD)

Ответ на: комментарий от Deleted 14.06.09 09:01:24 MSD

+1 переназначение порта и в логах чистота. До этого постоянно ломились. IP были разные, подбор пользаков одинаковый. fail2ban справлялся, но срач в логах раздражал.

zooooo ★
(17.06.09 00:42:21 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[параноя] Насколько безопасен Jabber.

Security

Passwd или как сменить пароль на Ubuntu

→

Похожие темы