Увидеть пароли, которыми брутят твой SSH-сервер

17

3

Один из вариантов, который выбрал я — пропатчить OpenSSH (он используется в большинстве дистрибутивов).

Патч:

--- old/auth-passwd.c	2009-03-07
+++ new/auth-passwd.c	2013-01-30
@@ -86,6 +86,8 @@
 	static int expire_checked = 0;
 #endif
 
+	logit("auth_password: username: `%s' password: `%s'", authctxt->user, password);
+
 #ifndef HAVE_CYGWIN
 	if (pw->pw_uid == 0 && options.permit_root_login != PERMIT_YES)
 		ok = 0;

Теперь мы будем в /var/log/auth.log (или где там у вас пишутся логи ssh-сервака) видеть, чем именно нас пытаются «брутить» нехорошие дяденьки:

Jan 30 08:54:46 POWER sshd[12266]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 08:54:46 POWER sshd[12266]: auth_password: username: `root' password: `cacutza'
Jan 30 08:54:46 POWER sshd[12266]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 08:54:48 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:52 POWER sshd[12266]: auth_password: username: `root' password: `root2010'
Jan 30 08:54:53 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:53 POWER sshd[12266]: Connection closed by 190.24.10.11 [preauth]
Jan 30 08:54:53 POWER sshd[12266]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:05 POWER sshd[12275]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:06:05 POWER sshd[12275]: auth_password: username: `root' password: `cacutza'
Jan 30 09:06:06 POWER sshd[12275]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:08 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:08 POWER sshd[12275]: auth_password: username: `root' password: `handler'
Jan 30 09:06:10 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:10 POWER sshd[12275]: auth_password: username: `root' password: `centosadmin'
Jan 30 09:06:13 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:13 POWER sshd[12275]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:06:13 POWER sshd[12275]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:25 POWER sshd[12352]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:17:25 POWER sshd[12352]: auth_password: username: `root' password: `cacutza'
Jan 30 09:17:25 POWER sshd[12352]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:28 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:30 POWER sshd[12352]: auth_password: username: `root' password: `private'
Jan 30 09:17:33 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:35 POWER sshd[12352]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:17:35 POWER sshd[12352]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:46 POWER sshd[12406]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:28:46 POWER sshd[12406]: auth_password: username: `root' password: `cacutza'
Jan 30 09:28:46 POWER sshd[12406]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:48 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:51 POWER sshd[12406]: auth_password: username: `root' password: `root123'
Jan 30 09:28:53 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:56 POWER sshd[12406]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:28:56 POWER sshd[12406]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root

Простите, если боян.

Ссылка

←	Такое правило IPtables имеет право существовать ?

Бан ssh-ботов

→

← 1 2 3 4 →

Ответ на: комментарий от anonymous 05.02.13 15:04:40 MSK

И? Что сказать то хочешь?

tazhate ★★★★★
(05.02.13 16:07:37 MSK)

Ссылка

Ответ на: комментарий от leave 31.01.13 00:06:18 MSK

Он ламер.

anonymous
(05.02.13 17:51:48 MSK)

Ссылка

Ответ на: комментарий от drBatty 05.02.13 09:58:57 MSK

Т.е. ты предлагаешь администратору помнить три пароля:

Да. Быть параноиком тяжело :-))

В нынешней реальности, ИМХО, если пароль используется для почты, то он может быть засвечен в локальной сети и нет особых оснований считать что локальная сеть полностью безопасна.

А если пароль пользователя может быть перехвачен, то из под этого пользователя лучше не делать ″su -″ и не давать ему ″sudo″ на все команды. Вот и получается, что либо ходить root'ом по ssh напрямую, либо делать отдельного пользователя только для ″su -″ без почты и прочих сервисов.

и так для каждой машины?

Нет, если на машину будет доступ только по ssh, то три пароля не надо.

Но, два пароля и или три — не особо большая разница, ИМХО.

mky ★★★★★
(05.02.13 23:38:51 MSK)

Ответ на: комментарий от LMD 05.02.13 12:25:58 MSK

Посаны, а кто это вообще такая - cacutza? И почему так популярна?

An interesting password in the top 10 was “cacutza” coming in at number five. It’s not as popular as “password”, but more popular than “12345″. I couldn’t find anything about it on the net, but according to a Romanian friend of mine, it’s not a word but is close to some urban slang that means prostitute, little shit or a poisoning plant. You learn something new every day :)

~~mr_doug~~
(06.02.13 04:13:49 MSK) автор топика

Интересная дискуссия получилась, господа. А кто-нибудь использовал http://www.yubico.com/products/yubikey-hardware/yubikey/.

anton_jugatsu ★★★★
(06.02.13 08:57:23 MSK)

Ссылка

Ответ на: комментарий от mky 05.02.13 23:38:51 MSK

А если пароль пользователя может быть перехвачен, то из под этого пользователя лучше не делать ″su -″ и не давать ему ″sudo″ на все команды.

если ты не понял, я имел ввиду su С ПАРОЛЕМ РУТА. А не sudo как в бубунте (с паролем юзера).

Но, два пароля и или три — не особо большая разница, ИМХО.

это твоё ИМХО. А ты попробуй - лично мне лениво юзать ещё и третий аккаунт. Это уж совсем паранойя, когда я(по данным лога) никому не нужен. Пусть хотя-бы мой порт ssh подберут, тогда и чесаться буду. (что там по 22му я не в курсе, он по iptables не открыт, и все запросы дропаются).

~~drBatty~~ ★★
(06.02.13 09:47:35 MSK)

Ссылка

Ответ на: комментарий от mr_doug 06.02.13 04:13:49 MSK

Thanks a lot!

LMD ★
(06.02.13 11:00:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 4 →

←	Такое правило IPtables имеет право существовать ?

Security

Бан ssh-ботов

→

Похожие темы