Kóstolgatnak

Az otthoni gépem nem a 22-es ssh porton érhető el. Terminálon kértem lokálisan root jogot, ekkor lettem figyelmes egy hibaüzenetre, mely szerint megpróbáltak bejönni a gépemre. Ez tegnap óta van így. Itt van a kipróbált felhasználónevekkel együtt:


72. 05/26/2018 22:26:42 oracle 191.238.32.209 ssh /usr/sbin/sshd no 306
73. 05/26/2018 22:44:36 postgres 191.238.32.209 ssh /usr/sbin/sshd no 322
74. 05/26/2018 23:02:20 admin 191.238.32.209 ssh /usr/sbin/sshd no 336
75. 05/26/2018 23:19:44 sysadmin 191.238.32.209 ssh /usr/sbin/sshd no 371
76. 05/26/2018 23:36:53 server 191.238.32.209 ssh /usr/sbin/sshd no 397
77. 05/26/2018 23:53:44 root 191.238.32.209 ssh /usr/sbin/sshd no 411
78. 05/27/2018 00:10:53 root 191.238.32.209 ssh /usr/sbin/sshd no 435
79. 05/27/2018 10:06:52 ubuntu 191.238.32.209 ssh /usr/sbin/sshd no 284
80. 05/27/2018 10:24:29 ubuntu 191.238.32.209 ssh /usr/sbin/sshd no 310

( locsemege v | 2018. 05. 27., v – 11:50 )

Router-re csináltam, azóta béke van:

config rule
        option name 'drop my licking :)'
        option enabled '1'
        option target 'DROP'
        option src 'wan'
        option src_ip '191.238.32.209'
        option dest 'lan'
        option proto 'all'

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Pontosan - wan interfész felől minek is kell ssh-nak nyitva lenni? Illendően tessen vpn-en beesni, és azon keresztül matatni a dolgokat. Nekem ami miszájból kint van ssh, az nem 22-es poron van, és első körben iptablesben forrás IP-re szűrve accept, minden más drop, oszt' jónapot :-P (Az sshd beállításai mellett, természetesen.)

Azért nagy dráma nincs. Természetesen root-tal nem lehet belépni ssh-n, csak egyetlen felhasználó jöhet be, s nem a 22-es porton van. Azért van nyitva ssh port, mert ezt szoktam meg, így érem el távolról a gépemet, például munkahelyről.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( sj | 2018. 05. 27., v – 13:09 )

2018-ban azon meglepodni, hogy szkennelik a netrol elerheto gepeket - is, ehehe - egy kicsit lama dolog. Bar egy ujszulottnek (ld. skype regisztracio egy 2018-as szuletesu bebi szamara, muhahalolb+) minden vicc uj alapon vegul is ertheto. Bar en nem emiatt aggodnek, hanem sokkal inkabb azok miatt, amik nem szerepelnek a /var/log alatt.

Btw. nem szokott az FSZB sshd tovabbkepzest tartani a hup ruszki ugynokenek?

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

( fsanyee | 2018. 05. 27., v – 15:12 )

van ilyen. hasznalj fail2ban-t ha zavar.
amugy sshd_config-ban a KexAlgorithms, Ciphers es MACs-t ha kitakaritod, akkor eleg sok ilyen probalkozas meghal a kapcsolat elejen. :)

( uid_6201 v | 2018. 05. 27., v – 20:58 )

Ha nyitva van az internet felöl, akkor tedd fel valahova 30 ezer fölé a portját, amit te tudsz, a botok pedig nem nyegtetik. Ha pedig lehetőséged van fehérlistát csinálni, ahonnan bejössz rá (IP tartományok), az is sokat segít.

igazabol nem ertem ezt a portatrakos fetist. ha ugyis be van allitva hogy ki meg mivel lephet be, akkor nem tokmind1? egy mai cpunak megse konnyan a probalkozas, csilio megabit mellett is elhanyagolhato, fail2ban meg ugyis elkuldi pihenni. ha meg luk van az ssh-n akkor ugyse a te szervereddel fogjak kezdeni a mokat :)

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

ha meg luk van az ssh-n akkor ugyse a te szervereddel fogjak kezdeni a mokat :)

Lehet, hogy nem vele kezdik, de ez még nem jelenti azt, hogy kimarad valami nagyobb balhéból. Például állami/katonai/bárakármilyen célpont támadása rajta keresztül? Csalánt is kényelmesebb máséval. :)

Nem tudom.
Egyrészt a hálózat azért nem olyan gyors, hogy pillanatok alatt végig lehessen próbálni minden portot. Plusz arra megint lehet szűrni, hogy ha ugyanarról az IP-címről rövid idő alatt próbálkoznak több portra.
Másrészt viszont nekem már okozott gondot a más portra rakott SSH, mivel el kellett volna érnem a szervert, nem volt nálam mobilnet és a kimenő csomagokra portszűrés volt.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

( pehsa | 2018. 05. 28., h – 11:35 )

Ez kb semmi! :D

Mi üzemeltettünk olyan szervereket, amik 2222-n voltak kiengedve és néhány óra alatt a kis kínai botok 324ezerszer próbálkoztak, de mindig ugyanazokkal a kombinációkkal.

Illetve egy jobb sztori:

Ismerősöm mesélte, hogy egyik rokona a narancsosoknak dolgozik és a választás előtt nem sokkal szisztematikusan TOR-on keresztül akartak SSH-n bemenni hozzájuk. Konkrétan olyan felhasználónevekkel amikről tudhattak és használtak, illetve a neve kombinációival próbáltak. A jelszavakat sajnos nem tudjuk, hogy miket próbáltak. De ez egy egyszeri alkalom volt és utána semmi.

( apostroph3 | 2018. 05. 29., k – 07:26 )


/usr/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
/usr/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j DROP

ha esetleg naplózni akarod hogy mit csinál: 


/usr/sbin/iptables -N LOGDROP
/usr/sbin/iptables -A LOGDROP -j LOG
/usr/sbin/iptables -A LOGDROP -j DROP
/usr/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
/usr/sbin/iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent  --update --seconds 60 --hitcount 4 -j LOGDROP