Hozzászólások
vki hel pls
- A hozzászóláshoz be kell jelentkezni
Hát... iptables az ip cím miatt; ssh-ban log a hiba miatt.
Az iptables-t előbb-utóbb meg kell ismerni....
- A hozzászóláshoz be kell jelentkezni
[quote:d33235858a="Emulgeator"]Hja es meg mi, vk ibe akar torni a serverre, eleg erdekes modszerrel, mar 1 hete probalgatja a user neveket. LOG: [code:1:d33235858a]
Nov 8 09:53:10 balassa sshd[9751]: Illegal user postgres from ::ffff:68.23.0.242
Nov 8 09:53:29 balassa sshd[9781]: Illegal user dragon from ::ffff:68.23.0.242
Nov 8 09:53:32 balassa sshd[9787]: Illegal user tomcat from ::ffff:68.23.0.242
[/code:1:d33235858a]
Ezzel mit csinaljak? Vagy erdemes egyaltalan foglalkozni vele? A jelszot tuti nem talalja ki probalgatos modszerrel.
Nemtom mikor telepítetted az ssh servert és mikor olvasgattál legutóbb logot, de az ilyesfajta script kiddie próbálkozások tavaly nyár óta jelentek meg tömegével, amikor volt egy sshd sebezhetőség. Ha publikus az IP-d, és sshd-t futtacc a 22-es porton, akkor még egy jó ideig tele lesznek a logjaid hasonlókkal.
Üdv,
Dw.
- A hozzászóláshoz be kell jelentkezni
oksa, kosz szepen, akkor siman figyelmen kivul hagyom, az ssh szakadasokkal, meg meg mindig nemtom i a baj, van egy sejtesem hogy a squid baszakszik, de ez csak sejtes, most lelovom, es letesztelem, hatha az volt a ludas
- A hozzászóláshoz be kell jelentkezni
A problemam a kovetkezo, a server mindig lezarja a kapcsolatot ssh-n keresztul randomize modon, tehat neha akar 20 percig is hasznalhatom neha meg akar 10 mp alatt megszakad. Nem tudjatok mi lehet, vagy mit nezzek meg? Hardware hibara gyanakszom , de az a fura hogy ez a server eddig mukodott normalisan, most lett frissites es azota csinalja ezt.
Az /etc/ssh/sshd_config file tartalma:
[code:1:de273910ca]# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 1,2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 60
PermitRootLogin yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication no
# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no
# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes
X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
Subsystem sftp /usr/lib/sftp-server
UsePAM yes
GatewayPorts yes
AllowTcpForwarding yes
[/code:1:de273910ca]
Az auth.log tartalma:
[code:1:de273910ca]Nov 5 14:36:47 balassa sshd[31244]: reverse mapping checking getaddrinfo for pc5.sas.nextra.hu failed - POSSIBLE BREAKIN ATTEMPT!
Nov 5 14:36:52 balassa sshd[31244]: Accepted keyboard-interactive/pam for root from ::ffff:213.134.15.86 port 1526 ssh2
Nov 5 14:36:52 balassa sshd[31247]: (pam_unix) session opened for user root by root(uid=0)
Nov 5 14:39:01 balassa CRON[31339]: (pam_unix) session opened for user root by (uid=0)
Nov 5 14:39:01 balassa CRON[31339]: (pam_unix) session closed for user root
[/code:1:de273910ca]
- A hozzászóláshoz be kell jelentkezni
[quote:a5fa7f3663="Emulgeator"]Az auth.log tartalma:
[code:1:a5fa7f3663]Nov 5 14:36:47 balassa sshd[31244]: reverse mapping checking getaddrinfo for pc5.sas.nextra.hu failed - POSSIBLE BREAKIN ATTEMPT!
[/code:1:a5fa7f3663]
A logban nincs benne az, hogy lezárja a kapcsolatot.
Amit idézek, az csak azt mondja, hogy egy ellenőrzés nem sikerült, vki esetleg rosszalkodik. Ahonnan bementél, annak a gépnek az ip címéhez tartozó dns bejegyzést lekérdezte (pc5.sas.nextra.hu). Ezután elvárt, hogy a név-ip cím megfeleltetés működjön a másik irányba is. Most nincs így. Az ssh nyavajog. Sőt. Most nincs is ilyen gépnév.
- A hozzászóláshoz be kell jelentkezni
Nov 5 14:39:01 balassa CRON[31339]: (pam_unix) session closed for user root
ez nem az hogy bearta a kapcsolatot?
Amugy nemtod mit csinaljak akkor vele hogy ne vacakoljon egyaltalan?
- A hozzászóláshoz be kell jelentkezni
[quote:1ed909c485="Emulgeator"]Nov 5 14:39:01 balassa CRON[31339]: (pam_unix) session closed for user root
ez nem az hogy bearta a kapcsolatot?
Amugy nemtod mit csinaljak akkor vele hogy ne vacakoljon egyaltalan?
Igaz.
A megoldás meg az alábbi:
UseDNS Specifies whether sshd should look up the remote host name and check that the resolved host name for the remote IP address maps back to the
very same IP address. The default is ``yes''.
Tehát:
UseDNS no
- A hozzászóláshoz be kell jelentkezni
Nyah megcsinaltam miat mondtal es mostmar nem ir ki hulyesegeket a logba, de ugyanugy megszakad neha a kapcsolat. SSH tunellezek a serverre hogy hasznaljam a sajat proxym es a BNC-m, es ugy tunik akkor szakad meg amikor nagyobb mennyisegu adat jon/megy at ssh-n(nem biztos csak sejtes). Nincs vmi 5letetek miert lehet?
- A hozzászóláshoz be kell jelentkezni
Hja es meg mi, vk ibe akar torni a serverre, eleg erdekes modszerrel, mar 1 hete probalgatja a user neveket. LOG: [code:1:224d1c24ce]
Nov 8 09:53:10 balassa sshd[9751]: Illegal user postgres from ::ffff:68.23.0.242
Nov 8 09:53:29 balassa sshd[9781]: Illegal user dragon from ::ffff:68.23.0.242
Nov 8 09:53:32 balassa sshd[9787]: Illegal user tomcat from ::ffff:68.23.0.242
[/code:1:224d1c24ce]
Ezzel mit csinaljak? Vagy erdemes egyaltalan foglalkozni vele? A jelszot tuti nem talalja ki probalgatos modszerrel.
- A hozzászóláshoz be kell jelentkezni
Nyah senki semmit?
- A hozzászóláshoz be kell jelentkezni