Cамотык для брутфорсера.

ты в первый раз выставил в инторнет какой-то сервис и испытал от этого удивление? не удивляйся

а по первой части вопроса? :)

дерьмовый способ. Лимит подключений в единицу времени это хорошо для защиты от массового набега, но не от подбора паролей. Для защиты от подбора fail2ban используют. А по ссылке школьник ssh запрещает сам себе.

Для защиты от подбора fail2ban используют

Я и хочу использовать fail2ban, только чтобы время бана зависело от количества его срабатываний на конкретном ip.

Т.е., чтобы с каждой новой неудачной попыткой перебора, время бана конкретного IP увеличивалось.

И вообще, как вы защищаете свои постфиксы?

Никак не защищаю. У меня с инета только приём почты только для моего домена, без авторизации. Наружу торчит только VPN и sshd, причём на них можно подключаться только с доверительных адресов или сетей (если у провайдера динамический ip-адрес). Задачи предоставить доступ для любого командированного куда угодно сотрудника у меня нет.

Вашу мысль не понял, как именно вы хотите реализовывать это:

время бана было пропорционально количеству попыток перебора

хотите натравить fail2ban на /proc/net/ipt_hashlimit/* ?

Реально ли организовать защиту postfix по принципу описанному здесь? http://habrahabr.ru/post/88461/

реально, но зачем? Эта хабрабл* тупая донельзя....

Мною занялся какой-то кулхацкер, второй день уже мусолит с нескольких десятков IP, и их количество постоянно увеличивается.

Это точно человек?

И вообще, как вы защищаете свои постфиксы?

мой защищён со 146% гарантией. У меня его нет.

дерьмовый способ. Лимит подключений в единицу времени это хорошо для защиты от массового набега, но не от подбора паролей. Для защиты от подбора fail2ban используют. А по ссылке школьник ssh запрещает сам себе.

ППКС

sshd, причём на них можно подключаться только с доверительных адресов или сетей

а зачем? Если поставить $RANDOM порт, то атак тоже НЕТ. Атакуют только 22й порт, и только боты. Или у тебя доменное имя http://www.microsoft.com ?

Атакуют только 22й порт, и только боты.

А вдруг завтра автор ботов додумается, что ssh может быть на нестандартном порту и добавит в код сканирование портов? Я как про это подумаю, дак уснуть не могу, пока в iptables побольше DROP не напихаю. :-)

и добавит в код сканирование портов

слишком жирно для ресурсов вируса, вирус не должен мешать пользователю виндовса смотреть кино

А вдруг завтра автор ботов додумается, что ssh может быть на нестандартном порту и добавит в код сканирование портов?

они уже додумались. Вот только в твоём (и в моём тоже) договоре о подключении к инету ты обязуешься следить за тем, что у тебя всяких сканеров не будет. А если будут, то провайдер вправе расторгнуть договор и отключить тебе интернет. И он обязательно так сделает, ибо такого рода сканеры плохо сказываются на работе его шлюза. И с хомячком-владельцем бота так сделает его ISP.

И с хомячком-владельцем бота так сделает его ISP

Есть живые примеры? Наплевать всем.

Эм, насколько я понимаю, подделать айпи адрес в сорс заголовке не так уж и сложно. То есть если ты настроишь фаерволл на пермаментный бан, злоумышленник, зная твой текущий айпи, может отрезать тебя от твоего же сервиса довольно легко. Более того за довольно небольшой промежуток времени, он может сделать так, что большая часть интернета не сможет к тебе подключится.

Есть живые примеры?

есть.

Наплевать всем.

когда пакет натится (а он всегда натится, даже если ты арендуешь постоянный белый IP), то шлюз провайдера запоминает тебя, и само соединение, грубо говоря «прокладывает дорогу», потом задача для шлюза упрощается, ибо он уже знает, куда и кому пакеты отправлять. Т.ч. перекинуть кучу пакетов по установленному соединению намного дешевле.

А вот если у некоторых хомячков установленны сканеры, которые сканят порты 24/7, то шлюз с такой нагрузкой несправляется, интернет начинает «тормозить», странички медленно открываются и т.п. Народ начинает жаловаться, но это не очень волнует ISP, куда хуже, что народ уходит к другим ISP. Вот ISP и вынужден отрубать инет тем, у которых сканеры и прочая HEX. Причём вполне официально.

Кстати, это с некоторых пор уголовное преступление в Этой Стране. Т.ч. отключение инета — это мелочь. Теоретически хомячок и на нарах может оказаться. (вот это — да, теория, на практике не видел. В отличие от отключений)

Т.ч. если такие вирусы и есть, то они мало распространены.

Ну и профит тоже не слишком большой — если там $RANDOM порт на ssh, то наверняка ещё и root закрыт, как и вообще парольная авторизация. Проще потыкать в 22 порт, ибо если порт 22, то его хозяин — конченный дебил(скорее всего), логин root, а пароль у него 123 или там что-то из списка(список у меня с собой всегда).

То есть если ты настроишь фаерволл на пермаментный бан, злоумышленник, зная твой текущий айпи, может отрезать тебя от твоего же сервиса довольно легко. Более того за довольно небольшой промежуток времени, он может сделать так, что большая часть интернета не сможет к тебе подключится.

это верно, но обычно всем пофиг.

Понятно, что если бот будет постоянно сканить все порты подряд, то будет большая нагрузка. Хотя обычный бот, работающий как процесс, не реализующий свой стек tcp, для каждой новой попытки проверки пароля по ssh создаёт новый сокет, новый src-порт, новый NAT у провайдера. Тоже заметная нагрузка.

А если нормальный ботнет с обменом информацией, то вполне может быть и база данных на каком ip-адресе и на каком порту весит ssh, ведь порт с ssh легко отличить от других.

ибо если порт 22, то его хозяин

В нонешней реальности совет перевесить ssh на другой порт лежит на каждом углу, и каждый такой хозяин вполне может перевесить свой ssh на порт 222 или 2222, оставив при этом пароль 123.

Но чистого перебора паролей я особо не опасаюсь, 8-10 случайный символов подобрать не реально. Не так быстро открывается соединение по ssh.

Другое дело или пароль как-то подсмотрели, или нашли уязвимость в sshd. Мне до офисов из дома пешком минут 10-15, поэтому лично мне, в случае внезапной смены моего ip-адреса провайдером, не сложно дойти до серверов и прописать другой адрес в -j ACCEPT.

Странно, у меня знакомый уже несколько лет сканирует. И никаких проблем.

Кстати, это с некоторых пор уголовное преступление в Этой Стране.

А можно ссылочку? Насколько я помню, сканирование не является преступлением.

Подделать ip-адрес дано далеко не всем, желательно иметь доступ к магистали, во всяком случае, все те, кто ходят в Инет через SNAT или через нормального провадера, не смогут отправить пакет с «левым» ip-адресом.

И, в случае с пакетом поддельным ip, проблемы будут только у схемы, описаной на хабре (с iptables hashlimit). Если инициатором занесения ip в бан-лист будет fail2ban с парсингом логов, то в логах может быть только настоящий ip-адрес, иначе tcp-сессия не установится.

Кстати, это с некоторых пор уголовное преступление в Этой Стране.

А пруф можно? Ссылочку на УК? Ладно вот это https://github.com/robertdavidgraham/masscan, но получается я не могу заюзать nmap, чтобы проверить свой сервак?

ведь порт с ssh легко отличить от других.

да ну! И как же?

В нонешней реальности совет перевесить ssh на другой порт лежит на каждом углу, и каждый такой хозяин вполне может перевесить свой ssh на порт 222 или 2222, оставив при этом пароль 123.

нельзя быть беременной наполовину. Советы про пароль «123» тоже на каждом углу лежат.

Но чистого перебора паролей я особо не опасаюсь, 8-10 случайный символов подобрать не реально. Не так быстро открывается соединение по ssh.

на кой ляд тебе вообще нужен этот пароль?

не сложно дойти до серверов и прописать другой адрес в -j ACCEPT.

а... Дурная голова ногам покоя не даёт (С)Русская пословица.

А можно ссылочку? Насколько я помню, сканирование не является преступлением.

272,273,274

конкретно: «нарушению работы ЭВМ, системы ЭВМ или их сети»

Странно, у меня знакомый уже несколько лет сканирует.

я тоже сканирую. Но я же не 24/7 так делаю, а только когда надо (а надо мне это редко когда). Да, создаю некую активность аномальную, но это незаметно и никому не мешает.

А вот вирус который тупо будет долбится по всем портам 24/7 — мешает. Причём мешает всем хомячкам, которые на этом шлюзе висят. Хомячки будут

1. звонить провайдеру.

2. поменяют провайдера.

3. набьют морду соседу, который всем мешает.

Провайдеру такие расклады не нужны.

Провайдеру такие расклады не нужны.

Ну не знаю, у нас как-то провайдер радмин блочил. В связи с тем, что многие используют Lamescan. Так после того как хомяки побежали к другому провайдеру, больше в дела пользователей старается не лезть.

да ну! И как же?

Тем, что после коннекта на него сервер сразу выдаёт ″SSH-2.0-OpenSSH″. Клиенту (сканеру) не нужно туда ничего посылать. В этом и был смысл слова «легко», в отличии от ряда других протоколов, где клиент должен сначала послать корректный запрос. Достаточно простые изменения кода бота — сначала просканировать все порты некотрого ip-адреса и только потом начинать долбить пароли. При этом не обязательно сканировать слишком интенсивно, 10 портов в секунду будет вполне незаметно.

на кой ляд тебе вообще нужен этот пароль?

Чтобы не таскать с собой флешку с ключём.

а... Дурная голова ногам покоя не даёт (С)Русская пословица.

Ходить для здоровья полезно.

Врачи Минздрава говорят, что ходьба снижает давление и уровень общего холестерина в крови, риск развития некоторых форм рака и остеопороза... И, конечно, если вы двигаетесь больше, чем едите, то сможете немного похудеть!

Так после того как хомяки побежали к другому провайдеру, больше в дела пользователей старается не лезть.

дык это везде так. Блочить своих хомячков — вынужденная мера, и применяется конечно редко. Но так применяется, как раз в случае таких безбашенных вирусов, которые порты сканят.

Да, мой провайдер ещё и антивирусом приторговывает со скидкой. Задолбал уже с этой рекламой.

Тем, что после коннекта на него сервер сразу выдаёт ″SSH-2.0-OpenSSH″. Клиенту (сканеру) не нужно туда ничего посылать.

соединение установить таки всё равно нужно. А это недёшево.

При этом не обязательно сканировать слишком интенсивно, 10 портов в секунду будет вполне незаметно.

тебе — незаметно. А шлюзу поплохеет, если таких идиотов будет много. А их будет много, ибо вирус совсем не просто так в ssh долбится. Ему он нужен очевидно для собственного распространения.

Чтобы не таскать с собой флешку с ключём.

флешку всё равно таскать нужно. Я таскаю. У меня там целая Slackware и ключи конечно тоже есть.

Дурная голова ногам покоя не даёт (С)Русская пословица.

Ходить для здоровья полезно. Врачи Минздрава говорят

а... Ну ясно с тобой всё...

тебе — незаметно. А шлюзу поплохеет, если таких идиотов будет много.

Тот перебор паролей, который я видел, идёт с разных src-портов, поэтому шлюзу совершенно одинаково, что 10 попыток установить соединение на 22 порт и проверить пароль, что 10 попыток установить соединение на разные порты.

А их будет много, ибо вирус совсем не просто так в ssh долбится. Ему он нужен очевидно для собственного распространения.

Не особо успешно он в них долбится. В форумах больше топиков не про «сломали мой сервер», а про «надоели кучи записей в логах».

Я таскаю. У меня там целая Slackware и ключи конечно тоже есть.

И мне с тобой всё ясно...

Тот перебор паролей, который я видел, идёт с разных src-портов, поэтому шлюзу совершенно одинаково, что 10 попыток установить соединение на 22 порт и проверить пароль

10 попыток на 22й порт имеет смысл только если между попытками 120 секунд. Пруф:

LoginGraceTime The server disconnects after this time if the user has not successfully logged in. If the value is 0, there is no time limit. The default is 120 seconds.

ну а скан портов можно проводить без всяких ограничений.

Не особо успешно он в них долбится. В форумах больше топиков не про «сломали мой сервер», а про «надоели кучи записей в логах».

дык а с чего ты взял, что поломанный сервер будет хуже работать? Наоборот — лучше. Кроме своей основной задачи, он ещё и будет полезное ПО юзерам раздавать. Т.ч. такие горе-админы на ЛОР и не будут писать...

Я таскаю. У меня там целая Slackware и ключи конечно тоже есть.

И мне с тобой всё ясно...

что не так-то?

А ещё нетбук постоянно с собой таскаю, доктора говорят — оно очень полезно (:

Почему бы не поставить хороший пароль, не подбирающийся по словарю?

10 попыток на 22й порт имеет смысл только если между попытками 120 секунд.

Это если ломать 1 сервер, а если ломать 120 серверов, то можно по 10 коннектов в секунду. А если 1200, то можно по 100 коннектов в секунду, но не нужно, так как такой бот уже будет заметен и будет мешать. Это же касается и скана портов.

Наоборот — лучше. Кроме своей основной задачи, он ещё и будет полезное ПО юзерам раздавать.

Он оно чё, срочно завожу пользователя test с логином test, а сервер как-то плохо работает.

что не так-то? А ещё нетбук постоянно с собой таскаю,

Что ты сисадмин, оперативно решающий поставляемы юзерами задачи. Одно не понятно, что ты забыл в техразделах ЛОРа?

Это если ломать 1 сервер

откуда бот узнает про второй сервер?

Одно не понятно, что ты забыл в техразделах ЛОРа?

я тут отдыхаю.

Ого, сколько нафлудили...

Возможно я не правильно задал вопрос.

1) я НЕ поклонник хабра

2) я НЕ считаю метод защиты описанный по ссылке правильным, и НЕ призываю никого его использовать.

3) Ссылку привел, чтобы был более понятен принцип, а не метод защиты.

4) Хочу, «чтобы с каждой новой неудачной попыткой перебора, время бана конкретного IP увеличивалось». Смысл в том, чтобы у атакующего как можно скорее закончились IP для перебора, насколько это возможно.

Естественно, все знают, что против них fail2ban и применяют метод «медленного» брутфорса с большого количества IP c 2-3мя попытками. В моем конкретном случае пришлось в ручную выставить общее время бана на двое суток, и вскоре атаки прекратились. Но я это сделал руками, а хотелось бы автоматом, и в зависимости от IP. Если кто-то подскажет как такое реализовать буду очень благода..

хотите натравить fail2ban на /proc/net/ipt_hashlimit/* ?

Возможно, но не обязательно hashlimit, может можно каким-то образом «запоминание» плохих IP поручить fail2ban? Иными словами, чтобы правило блокировки iptables было обычным DROP, а fail2ban решал через какое время разбанить конкретный IP.

погляди на fail2ban и tarpit, самотык получиться должен

Ссылку привел, чтобы был более понятен принцип, а не метод защиты.

сам принцип неправильный, потому что защищает от несуществующих атак.

А метод я даже и не рассматривал.

В моем конкретном случае пришлось в ручную выставить общее время бана на двое суток, и вскоре атаки прекратились. Но я это сделал руками, а хотелось бы автоматом, и в зависимости от IP.

на какие же ухищрения не пойдут люди, лишь-бы порт №22 выставить голой жопой в сеть...

на какие же ухищрения не пойдут люди, лишь-бы порт №22 выставить голой жопой в сеть...

Понятно, что вы вообще не читали тему. Я спрашиваю про postfix. ssh меня не интересует.

Понятно, что вы вообще не читали тему. Я спрашиваю про postfix.

читал. Забыл уже. Пруфлинк у тебя про ssh.