Sziasztok!
nézegettem egy kicsit a logokat a Debian serveremen és a következőre lettem figyelmes az auth.log-ban:
Aug 14 12:09:08 localhost sshd[22815]: Did not receive identification string from 219.148.119.105
Aug 14 12:12:22 localhost sshd[22818]: User root not allowed because not listed in AllowUsers
Aug 14 12:12:29 localhost sshd[22820]: Illegal user admin from 219.148.119.105
Aug 14 12:12:37 localhost sshd[22822]: Illegal user test from 219.148.119.105
Aug 14 12:12:41 localhost sshd[22824]: Illegal user guest from 219.148.119.105
Aug 14 12:12:45 localhost sshd[22826]: Illegal user webmaster from 219.148.119.105
Aug 14 12:12:51 localhost sshd[22828]: User mysql not allowed because not listed in AllowUsers
Aug 14 12:12:55 localhost sshd[22830]: Illegal user oracle from 219.148.119.105
Aug 14 12:13:01 localhost sshd[22832]: Illegal user library from 219.148.119.105
Aug 14 12:13:06 localhost sshd[22834]: Illegal user info from 219.148.119.105
Aug 14 12:13:10 localhost sshd[22836]: Illegal user shell from 219.148.119.105
Aug 14 12:13:14 localhost sshd[22838]: Illegal user linux from 219.148.119.105
kezdő linuxos admin vagyok, és nem vagyok teljesen tisztában azzal, hogy mit is jelent ez, de ha jól gondolom akkor egy kinai hacker próbálkozott. Honnan tudom, hogy sikerült-e neki? Vagy pontosan mit jelentenek ezek a bejegyzések?
A segítséget előre is köszönöm.
VS
- 4457 megtekintés
Hozzászólások
>Betörtek hozzám?
egyelőre remélhetőleg nem :-))
- A hozzászóláshoz be kell jelentkezni
Ezek probalkozasok. Ennyi alapjan csak azt lehet biztosan mondani, hogy probaltak hozzad belepni ssh-n keresztul a rendszereken altalaban megtalalhato user nevek felhasznalasaval de (egyenlore) nem sikerult. Javaslom, hogy jelentkezz be ssh-n keresztul es nezd meg a system logot, hogy hogyan nez ki egy sikeres bejelentkezes.
- A hozzászóláshoz be kell jelentkezni
Ilyet en is eleg sokat latok. Az elmult 1 honapban meg meglepoen sokat, kulonfele helyeken. Van kinn valami scanner es sok a buzgo mocsing, vagy mar worm is van erre?
- A hozzászóláshoz be kell jelentkezni
Valami automatikus rendszer ami ezt csinalja - naponta 100-200 ilyen ssh belepesi kiserlet erkezett regebben (mig automatikus nem kezdtem el tiltogatni az ilyen IP-ket, mert untam, hogy foglaljak a savszelessegem). Van amikor (a worm - vagy hasonlo) eleg brutalisan csinalja es total lenyomja a savszelt.
- A hozzászóláshoz be kell jelentkezni
Régen az én logjaim is tele voltak ilyen szarokkal. Aztán meguntam. Azóta az sshd nem a saját portján figyel. Mióta átállítottam, egy kísérlet sem volt...
Szerk: emlékeim szerint régen volt valami sshd sebezhetőség, és ezzel lehetett kihasználni. Azóta mindenki ezzel próbálkozik, mondván hátha.
- A hozzászóláshoz be kell jelentkezni
azert egy felparameterezett nmap siman megtalalja az ssh-t, akarhova rakod...
nalam sem a default porton figyel, ha egyaltalan bekapcsolom..
---
"... nem zsaru vagyok, hanem a rendorfonok."
- A hozzászóláshoz be kell jelentkezni
Az nmap megtalálja, de úgy sokkal lasabb lenne a worm/hacker tevékenysége, mire végigszkenneli a nyitott portokat és megállapítja hogy hol van ssh nyitva. Korábban itt a HUPon is volt rengeteg okos ötlet a biztonság növelése érdekében (ssl kulcs, portkopogtatás és társai), keressetek rá, hasznos lehet.
Laci
- A hozzászóláshoz be kell jelentkezni
A routeren a 22-es port megnyitását követő 2. naptól kezdve nekem is dőltek be ezek a próbálkozások. Mivel csak én használom, ezért áttettem egy másik (>1000) portra, azóta megszűntek.
Hogy növeld a biztonságot (a port áttétel mellett is!), sshd_config-ban:
PermitRootLogin no # root nem léphet be
PubkeyAuthentication yes # publikus kulcsot használ
AllowUsers
AuthorizedKeysFile %h/.ssh/authorized_keys
PasswordAuthentication no # sima jelszót nem fogad el - nem lehet próbálkozni
MaxAuthTries 2 # 2 hibás próbálkozás után bontja a kapcsolatot
- A hozzászóláshoz be kell jelentkezni
Köszönöm a gyors válaszokat mindenkinek.
Kicsit jobban átnéztem a korábbi logokat is, és abból az derült ki, hogy nem csak kínából, hanem még legalább 10 másik IP-ről is próbálkoztak. Voltak teljesen véletlenszerü felhasználónevek (gondolom progi generálta), és voltak kimondottan magyar keresztnek is (pedig külföldről próbálkoztak, gondolom van országra vonatkozo nevlistájuk /egy ilyet nem nagy valami beszerezni/ ékezet nélkül), és még a rendszerhez általában kapcsolódó 'nevek', /mysql, mysqladmin, webalizer, webx, .../
1.
PermitRootLogin yes # -volt ezt atirtam no-ra
2.
MaxAuthTries 2 # hibának jelzi amikor restart-olom az sshd-t
3.
mivel csak én használom az ssh(d)-t, ezért az
AllowUsers -nél csak az én user nevem van megadva, ez így ok? (mert különben mindenki be tud lépni?)
VS
- A hozzászóláshoz be kell jelentkezni
AllowUsers neved@*
- A hozzászóláshoz be kell jelentkezni
Ha jól értem ez azt jelenti, hogy a 'neved' :) felhasználó bármilyen hosztról beléphet, de csak ő?
- A hozzászóláshoz be kell jelentkezni
nyomj egy:
"last -20" parancsot. persze idezojelek nelkul.
- A hozzászóláshoz be kell jelentkezni
Nálam is voltak ilyen próbálkozások egy tűzfal/proxy gépen. Én ezt csináltam:
1/ IP címek alapján rákerestem a netblock üzemeltetőjére.
2/ az üzemeltető admin és abuse címére küldtem egy felháborodott levelet (megfeleő log részletekkel kiegészítve) és kértem a felhasználó letiltását
10 szolgáltatóból 8 válaszolt és ami meglepő volt, valamit csináltak is. Ugyanis ezekből a rendszerekből nem jött több próbálkozás. A maradék próbálkozók ellen pedig:
1/ sshd átkerült más portra
2/ az ssh portra érkező próbálkozások átirányítva egy DMZ-ben elhelyezett ősöreg gépen futó ssh szerverre. Itt 3 sikertelen próbálkozás után megy a delikvens a TARPIT-ra :DD
Azóta nyugalom van. 4-5 naponta bepróbálkozik valaki, de hamar feladja.
- A hozzászóláshoz be kell jelentkezni
Tuzfalas workaround:
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -m recent --update --seconds 120 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -m recent --set --name SSH --rsource -j ACCEPT
Altalaban gyorsan tovabballnak a probalkozo scriptek miutan az elso probalkozas utan eltunik az ssh szerver...
- A hozzászóláshoz be kell jelentkezni
Ez jó, nagyon ötletes :)
- A hozzászóláshoz be kell jelentkezni
kegyetlen jó! remek ötlet! graulálok. És nagyon köszönöm, hogy velem/velünk is megosztottad
- A hozzászóláshoz be kell jelentkezni
En nem vagyok rendszergazda, de van nekem egy szkriptem amit itt a hupon hekkeltek ossze paran es beletettem a fenti ket sort. Tudna ra valaki mondani valamit, hogy jo lesz-e igy:
$IPT -A input_ext -p tcp --dport 22 -m state --state NEW -m limit --limit $LOG_LIMIT -j LOG --log-prefix 'FW-ACCEPT ' --log-tcp-options --log-ip-options
$IPT -A input_ext -p tcp --dport 22 -m state --state NEW -j ACCEPT
$IPT -A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -m recent --update --seconds 120 --name SSH --rsource -j DROP
$IPT -A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -m recent --set --name SSH --rsource -j ACCEPT
Ugye ertelemszeruen, IPT az az iptables, input_ext pedig a kulso interface bejovo csomagjai. :-)
---------------------
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.
- A hozzászóláshoz be kell jelentkezni
A masodik sorban minden 22-es portra iranyulo kapcsolatotfelepitesi kiserletet elfogadsz, vagyis a harmadik sorig mar nem fog eljutni az uj kapcsolatot letrehozo csomag.
- A hozzászóláshoz be kell jelentkezni
Tehat ez azt jelenti, hogy nyugodtan kivehetem a masodikat? :-)
---------------------
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.
- A hozzászóláshoz be kell jelentkezni
3,1,4 :)
- A hozzászóláshoz be kell jelentkezni
Koszi, meg van. :-)
---------------------
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.
- A hozzászóláshoz be kell jelentkezni
Nekem ugyan nem tűnik el az ssh szerver...
- A hozzászóláshoz be kell jelentkezni
te nem linux admin vagy hanem linux user
veletlenul sem keverendo ossze a ketto
http://litch.eu/blog
http://www.gnaa.us
linux: a religion, not an operating system
- A hozzászóláshoz be kell jelentkezni
A 'kezdő linux admin'-t úgy értettem, hogy egy suliban vagyok rendszergazda, ahol egy Debian alapú szervert és 55 db. dual-boot os PC-t felügyelek. És azért kezdő, mert 5 hónap Linuxos rendszergazdai munka után, nem mondhatom azt, hogy profi vagyok, hiába használok kb. 3 éve Linuxot.
- A hozzászóláshoz be kell jelentkezni
haladó...
- A hozzászóláshoz be kell jelentkezni
"Szerző: veresh
Dátum: k, 2006-08-15 23:36
A 'kezdő linux admin'-t úgy értettem, hogy egy suliban vagyok rendszergazda,..."
Üdv.
Jó ha tudod, hogy, drastik "barátunktól" nem várható más, csak amit alant írt és még "szerény" volt. (Pedig jobban járnánk ha inkább termeszhangyákat gyűjtene afrikában.) De internet elérés NÉLKÜL!
"Szerző: drastik
Dátum: k, 2006-08-15 22:52
te nem linux admin vagy hanem linux user
veletlenul sem keverendo ossze a ketto
- A hozzászóláshoz be kell jelentkezni
viszont kiváncsi lennék hogy így törtek e már be valakihez, és ha igen milyen jelszóval ?
nálam alap hogy a root al ugye be se lehet lépni ssh-n, de még a felhasználónevet se találja nemhogy a jelszót hozzá, szal 5ös lottó esélyesebb.
mellesleg megjegyzem hogy egy szerver 2 hónapig volt kint root/1234 jelszóval mire bejöttek rá ilyen módon :D
szóval ezektől valahogy sose paráztam, ami persze nem biztos hogy jó.
Celeron-M 1400Mhz, 768M, Debian SID, 2.6.17
- A hozzászóláshoz be kell jelentkezni
azért egy port kopogtató megoldás is elég hatásos tud lenni az ilyenek ellen... és akkor még célzott scannelés sem találja meg az sshd -t (sem)
- A hozzászóláshoz be kell jelentkezni
ebben igazad van, de... az egxszeri júzernek hogn mondod el? néha az ssh/scp megértetése is nehéz, még eyetemistákkal (ttk-s!!!) is, persze leginkább a hozzáállásuk miatt...
- A hozzászóláshoz be kell jelentkezni
ez is igaz, de most egy privát és nem sok felhasználós rendszerről volt szó. szóval az ember magának szerintem bőven megteheti!
- A hozzászóláshoz be kell jelentkezni
Kivancsi lennek, mit szolna hozza a probalkozo rendszer, ha a 22-es porton a netcat lenne, es bejelentkezesi kiserlet eseten elkezdene attolteni a /dev/urandomot :D
- A hozzászóláshoz be kell jelentkezni
Ezt szerveren nem kellene elkövetni. Max. néhány bájtot van értelme, ha már ezt akarod. Ugyanis a processzor 100%-on fog menni, ha nagy a sávszélessége annak, aki próbálkozik. Ideális táptalaj DoS-nak, vagy épp DDoS-nak.
- A hozzászóláshoz be kell jelentkezni
Tom :) Nem eles rendszerrol gondoltam :D Csak a moka kedveert, hatha osszeomlik a worm :)
- A hozzászóláshoz be kell jelentkezni
Elég oda a /dev/zero is. esetleg seddel ki lehet a nullát vmi értelmesre cserélni
- A hozzászóláshoz be kell jelentkezni
Csináltam egy nem ortodox megoldást, lehet, hogy szabályokkal ellentétes, és sokan a fejemet akarják majd, viszont gondot nem okozott, sőt...
Az ssh-n esetleges sikeres belépés után nem a /bin/bash-t futtatja, hanem egy bash scriptet, amely további azonosításokat kér. Ha beléptél, a script már el is emailezte a logfájl utolsó sorait egy külső emailcímre, valamint szintén egy külső címre kapok egy emailt, hogy xy ip-ről z időpontban sikeres belépés történt t juzernévvel.
A scriptet ctrl+c-vel megszakítva dobja a kapcsolatot, és az illető ip-t 10 perces banlistára helyezi.
Ha a script is azonosított, akkor megkapod a /bin/bash promtját, és a script kilép.
Hatásai: ha be is törnének, és törölnék a logokat, legalább a betörő kilétét fel tudom majd fedni.
Persze, már a belépésig is védve van a rendszer a "klasszikus" megoldásokkal (alternatív port, próbálkozások limitálása, stb.)
- A hozzászóláshoz be kell jelentkezni
Ilyet anno en is csinaltam a suliban...egy menut kapott a t.felhasznalo, amibol valogathatott kedvere :D Illetve volt egy masik szkriptem is, ami _command_match_ alapjan muxott. Ha listaban volt az adott parancs, akkor azt hasznalhatta a user.
- A hozzászóláshoz be kell jelentkezni
És ha a támadó nem ctrl+c-t nyom, hanem ctrl+z-t? ;)
Vagy ha sftp-vel jelentkezik be, akkor sem fut le a scripted... :>
Egyébként se értem mire jó ez. Vannak megfelelőbb módszerek is arra, hogy bizonyos dolgokat külön hostra loggoljunk és ne a usertől függjön. A te módszerednél egyértelműen látszik, hogy sima userként is olvashatóak a logfájlok, amely nem túlságosan szerencsés. Másrészről én személy szerint utálnám, hogy az ssh auth után még valamiféle hitelesítést kellene végigszenvednem. Miből gondolod, hogy ha valaki képes az bejelentkezési jelszavadat megszerezni, akkor a scriptes azonosításodról nem tud? :P
- A hozzászóláshoz be kell jelentkezni
No, itt az első "okoskodás". :) Szerintem jobb lesz, ha nem kezdem el mélyrehatóan magyarázni. ;) Lényeg az, hogy nem törtek be, habár próbálkoztak rendesen. Tehát a rendszer működőképes. Amúgy se szeretem a mások által készített megoldásokat, amelyeket nem is lehet igazán átlátni.
- A hozzászóláshoz be kell jelentkezni
Abban igazad van, hogy a saját megolodásaidat te magad átlátod. A mások által készítetteket meg át kell nézni hogy átlásd. Amúgy gondosabb emberek raknak komenteket hascriptról van szó,. vagy ha valami bonyibbról akkor gyártanak hozzá doksit,pont neked, hogy átlásd hogy mi hogyan müx. Sajnos az ilyesmire időt kell szakitani.
Nálunk a cégnél most vezetjük be a bacula nevű backup manager progit, mert eddig mindenféle saját scripttel dolgoztunk. Természetesen tudjuk, hogy nem fogjuk 5 pőerc alatt átlátni a működését, abban meg főleg biztosak vagyunk, hogy a Novelles kötetekkel lesz szopás rendesen, de időt áldozunk rá, mert nagyon jó szoftver. Arról nem is beszélve hogy mennyivel kényelmesebb az, ha valami hiba van, akkor csak küldünk egy feljelentést a szoftverkészítőnek és annyi.
Szóval kinek a pap kinek a papné.
- A hozzászóláshoz be kell jelentkezni