LINUX.ORG.RU
решено ФорумSecurity

А кто меня так упорно пытается поломать?


0

0

Сейчас заглянул в auth.log и обнаружил, что меня кто-то с ноября прошлого года упорно пытается брутфорсить:

Aug 26 07:28:53 arnor sshd[14960]: Invalid user core from 88.191.63.231
Aug 26 07:28:53 arnor sshd[14960]: pam_tally(sshd:auth): pam_get_uid; no such user
Aug 26 07:28:53 arnor sshd[14960]: pam_unix(sshd:auth): check pass; user unknown
Aug 26 07:28:53 arnor sshd[14960]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-11117.dedibox.fr 
Aug 26 07:28:54 arnor sshd[14960]: Failed password for invalid user core from 88.191.63.231 port 56307 ssh2
Aug 26 07:28:55 arnor sshd[14962]: Invalid user newsletter from 88.191.63.231
Aug 26 07:28:55 arnor sshd[14962]: pam_tally(sshd:auth): pam_get_uid; no such user
Aug 26 07:28:55 arnor sshd[14962]: pam_unix(sshd:auth): check pass; user unknown
Aug 26 07:28:55 arnor sshd[14962]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-11117.dedibox.fr 
Aug 26 07:28:57 arnor sshd[14962]: Failed password for invalid user newsletter from 88.191.63.231 port 57422 ssh2
Aug 26 07:28:58 arnor sshd[14964]: Invalid user named from 88.191.63.231
Aug 26 07:28:58 arnor sshd[14964]: pam_tally(sshd:auth): pam_get_uid; no such user
Aug 26 07:28:58 arnor sshd[14964]: pam_unix(sshd:auth): check pass; user unknown
Aug 26 07:28:58 arnor sshd[14964]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-11117.dedibox.fr 
Aug 26 07:29:01 arnor sshd[14964]: Failed password for invalid user named from 88.191.63.231 port 57746 ssh2
Aug 26 07:29:02 arnor sshd[14966]: Invalid user visitor from 88.191.63.231
Aug 26 07:29:02 arnor sshd[14966]: pam_tally(sshd:auth): pam_get_uid; no such user
Aug 26 07:29:02 arnor sshd[14966]: pam_unix(sshd:auth): check pass; user unknown
Aug 26 07:29:02 arnor sshd[14966]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-11117.dedibox.fr 
Aug 26 07:29:04 arnor sshd[14966]: Failed password for invalid user visitor from 88.191.63.231 port 59036 ssh2
Aug 26 07:29:05 arnor sshd[14968]: Invalid user ftpuser from 88.191.63.231
Aug 26 07:29:05 arnor sshd[14968]: pam_tally(sshd:auth): pam_get_uid; no such user
Aug 26 07:29:05 arnor sshd[14968]: pam_unix(sshd:auth): check pass; user unknown
Aug 26 07:29:05 arnor sshd[14968]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-11117.dedibox.fr 
Aug 26 07:29:06 arnor sshd[14968]: Failed password for invalid user ftpuser from 88.191.63.231 port 60102 ssh2
Aug 26 07:29:07 arnor sshd[14970]: Invalid user username from 88.191.63.231
Aug 26 07:29:07 arnor sshd[14970]: pam_tally(sshd:auth): pam_get_uid; no such user
Aug 26 07:29:07 arnor sshd[14970]: pam_unix(sshd:auth): check pass; user unknown
Aug 26 07:29:07 arnor sshd[14970]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-11117.dedibox.fr 
Aug 26 07:29:09 arnor sshd[14970]: Failed password for invalid user username from 88.191.63.231 port 60372 ssh2
Aug 26 07:29:10 arnor sshd[14972]: Invalid user administrator from 88.191.63.231
Aug 26 07:29:10 arnor sshd[14972]: pam_tally(sshd:auth): pam_get_uid; no such user
Aug 26 07:29:10 arnor sshd[14972]: pam_unix(sshd:auth): check pass; user unknown
Aug 26 07:29:10 arnor sshd[14972]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-11117.dedibox.fr 
Aug 26 07:29:12 arnor sshd[14972]: Failed password for invalid user administrator from 88.191.63.231 port 33224 ssh2
Aug 26 07:29:13 arnor sshd[14974]: Invalid user library from 88.191.63.231
Aug 26 07:29:13 arnor sshd[14974]: pam_tally(sshd:auth): pam_get_uid; no such user
Aug 26 07:29:13 arnor sshd[14974]: pam_unix(sshd:auth): check pass; user unknown
Aug 26 07:29:13 arnor sshd[14974]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-11117.dedibox.fr 
Aug 26 07:29:15 arnor sshd[14974]: Failed password for invalid user library from 88.191.63.231 port 33594 ssh2
Aug 26 07:29:17 arnor sshd[14976]: Invalid user test from 88.191.63.231
Aug 26 07:29:17 arnor sshd[14976]: pam_tally(sshd:auth): pam_get_uid; no such user
Aug 26 07:29:17 arnor sshd[14976]: pam_unix(sshd:auth): check pass; user unknown
Aug 26 07:29:17 arnor sshd[14976]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=sd-11117.dedibox.fr 
Aug 26 07:29:18 arnor sshd[14976]: Failed password for invalid user test from 88.191.63.231 port 34748 ssh2

В общем как можно вычислить этого идиота (а ломает он судя по разным IP из под разнообразных проксей), ну и как можно повысить безопасность системы кроме очевидных смены пароля и запрета заходить по ssh из интернетов (последнего хотелось бы избежать)?

★★★★★

брутфорсят не только тебя, а вобще всех. в 99 случаях из 100 - это боты.

решение обычное: перевесить порт, запретить вход руту и прописать ACL для конерктных ИПов.

dreamer ★★★★★
()

Это известный дятел - чей-то ботнет.

запрета заходить по ssh из интернетов (последнего хотелось бы избежать)

Так жестко - необязательно. TCP Wrapper позволяет выборочно блокировать.

А ниже тебе посоветуют вообще авторизацию по паролю запретить.

mclaudt
()

Не ты один. Если выставляешь ssh на дефолтном порту, то такое вполне ожидаемо.
Самое простое - сменить порт на котором висит ssh (заодно и узнаешь, ломают ли именно тебя целенаправленно или просто по интернетам гуляют в надежде что-нить отбрутить)
Второе - сделать аутентификацию только по ключам, тогда он тебя по паролю просто не сможет отбрутить.
Третье - есть всякие fail2ban и прочее.
Четвёртое knock daemon.

Nao ★★★★★
()

Всем спасибо вроде понятно.

//Ну и как всегда я забыл поглядеть в lor-wiki где все уже давным-давно расписано…

fat_angel ★★★★★
() автор топика

Если это домашний комп - повесь sshd на, к примеру, 4321 порт. И всё логи девственно чисты :)

anton_jugatsu ★★★★
()

Просто поменя порт ссх.

Zhbert ★★★★★
()

ну повесь ты ssh на недефолтный порт, что как маленький прям.

isden ★★★★★
()

Четвёртое knock daemon.

отличная штука - рекомендую!!!

male66
()
Ответ на: комментарий от sergej

у меня нестандартный порт + sshguard на этот нестандартный порт. И логи чисты и если целенаправленно будут ломать, рассчитываю увидеть.

malamute
()
Ответ на: комментарий от Chu

>> по моему ssh на нестандартном порту, ещё больше привлечёт внимание))

перевешивание ssh на другой избавило меня от ломящихся ботов полностью.

sergej ★★★★★
()
Ответ на: комментарий от Chu

> по моему ssh на нестандартном порту, ещё больше привлечёт внимание))
Каким образом? Автоматические сканеры, которые фигачат целые подсети на 22ой порт, не найдут такой ссш.

А если идёт целенаправленный скан то большой разницы впринципе нет. Хуже точно не будет.

Nao ★★★★★
()

SSH на левый порт! мне тоже надоело постоянно в логах видеть что какие то обезьяны из эмиратов или еще какой то банановой республики толпятся на 22м порту....на всех наших серверах сменил....

doctor-ua
()

Дома за последний месяц 15к неудачных попыток входа, это меня вобще не напрягает

swelf
()

На роутере ssh на нестандартном порту, на лаптопе ssh на внешку только по ключам, на локалку по паролю. Если вдруг внезапно окажусь без ключа, можно залогиниться через роутер (естественно два разных пароля).

PolarFox ★★★★★
()

вот и fat_angel в 2010 году купил прямой IP или устроился наконец-то юникс администратором.
наши поздравления.

system-root ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security