UHU-linux SSH

UHU Linux

Sziasztok!
A minap veletlen belenéztem a /var/log/syslog-ba:
Sep 28 17:41:45 fiktiv sshd[14854]: Failed password for invalid user tomas from 218.150.162.178 port 47868 ssh2
Sep 28 17:41:50 fiktiv sshd[14856]: Invalid user freeze from 218.150.162.178
Sep 28 17:41:50 fiktiv sshd[14856]: pam_unix(sshd:auth): check pass; user unknown
Sep 28 17:41:50 fiktiv sshd[14856]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.150.162.178
Sep 28 17:41:51 fiktiv sshd[14856]: Failed password for invalid user freeze from 218.150.162.178 port 48129 ssh2
Sep 28 17:41:54 fiktiv sshd[14858]: Invalid user oscar from 218.150.162.178
Sep 28 17:41:54 fiktiv sshd[14858]: pam_unix(sshd:auth): check pass; user unknown
Sep 28 17:41:54 fiktiv sshd[14858]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.150.162.178
Sep 28 17:41:56 fiktiv sshd[14858]: Failed password for invalid user oscar from 218.150.162.178 port 48404 ssh2
Sep 28 17:41:59 fiktiv sshd[14860]: Invalid user india from 218.150.162.178
Sep 28 17:41:59 fiktiv sshd[14860]: pam_unix(sshd:auth): check pass; user unknown
Sep 28 17:41:59 fiktiv sshd[14860]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.150.162.178
Sep 28 17:42:01 fiktiv sshd[14860]: Failed password for invalid user india from 218.150.162.178 port 48639 ssh2
Sep 28 17:42:04 fiktiv sshd[14862]: Invalid user china from 218.150.162.178
Sep 28 17:42:04 fiktiv sshd[14862]: pam_unix(sshd:auth): check pass; user unknown
Sep 28 17:42:04 fiktiv sshd[14862]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.150.162.178
Sep 28 17:42:05 fiktiv sshd[14862]: Failed password for invalid user china from 218.150.162.178 port 48905 ssh2
Sep 28 17:42:09 fiktiv sshd[14864]: Invalid user japan from 218.150.162.178
Sep 28 17:42:09 fiktiv sshd[14864]: pam_unix(sshd:auth): check pass; user unknown
Sep 28 17:42:09 fiktiv sshd[14864]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.150.162.178
Sep 28 17:42:10 fiktiv sshd[14864]: Failed password for invalid user japan from 218.150.162.178 port 49139 ssh2
Sep 28 17:42:13 fiktiv sshd[14866]: Invalid user etc from 218.150.162.178
Sep 28 17:42:13 fiktiv sshd[14866]: pam_unix(sshd:auth): check pass; user unknown
Sep 28 17:42:13 fiktiv sshd[14866]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.150.162.178

es mar napok óta ilyen. Egyébként nem szoktam bogarászni a syslogot, itthoni vas nincs rajta semmi különös, de azért bosszantó.....
azért nem hagytam ennyiben es egy kicsit nezelodtem:
root@fiktiv:/var/log# last -i |more
remote pts/5 218.150.162.178 Fri Sep 28 17:28 - 18:00 (00:31)
remote ssh 0.0.0.0 Fri Sep 28 17:28 gone - no logout
user tty1 0.0.0.0 Fri Sep 28 16:34 - 16:42 (00:08)
szoval nekem egészen ugy tunik hogy sikerult feltörnie.....
tudtok segiteni nekem, hogy mi erre a megoldas? (jelenleg bezartam az ssh-t, de jo lenne ha mehetne)

elore is koszonom

  • 7352 megtekintés

( raavi | 2007. 09. 28., p – 18:47 )

szasztok nos ezt most találtam: szintén a syslogbol tenyleg sikerult feltornie...
Sep 28 17:28:48 fiktiv sshd[14527]: Invalid user fester from 218.150.162.178
Sep 28 17:28:48 fiktiv sshd[14527]: pam_unix(sshd:auth): check pass; user unknown
Sep 28 17:28:48 fiktiv sshd[14527]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=218.150.162.178
Sep 28 17:28:50 fiktiv sshd[14527]: Failed password for invalid user fester from 218.150.162.178 port 48429 ssh2
Sep 28 17:28:53 fiktiv sshd[14529]: Accepted password for remote from 218.150.162.178 port 50286 ssh2
Sep 28 17:29:03 fiktiv sshd[14544]: Invalid user internet from 218.150.162.178
Sep 28 17:29:03 fiktiv sshd[14544]: pam_unix(sshd:auth): check pass; user unknown
Hogyan lehet ez ellen védekezni???

no meg a publikus kulcsot jól elzárod mástól

A privát kulcsra gondoltál, nem? A publikus kulcs szerepét, már a neve is hordozza, ahogy a privát kulcsét is.
Egyébként tényleg hasznos lehet nem a default porton futtatni, csak kulcsos hitelesítést elfogadni és csak azokat a usereket engedni, akiknek szükséges, hogy elérjék a net felől is a gépedet ssh-n keresztül.

--
http://laszlo.co.hu/

Most mar tanultam a sajat hibaimbol. En igy csinalom:
- 22-es porton SSH - csak publikus kulcsu authentikacio (olyanok miatt, ahol portszinten szuro tuzfal van)
- random porton SSH - publikus kulcsu es jelszavas authentikacio (ha elhagynam a kulcsomat)
- akinek nem kell shell, az chroot-olt SFTP-t kap.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Veszel egy D-link routert (most éppen dir-100), letiltod a külső pinget, beélesíted a DoS védelmet, a tűzfalán letiltod ezt az ip-címet, hogy az összes porton és tcp/udp se ki se be.

Aztán megnézed a log-ot és egy kicsit örülhetsz.

Utána ráérsz bent a gépben gondolkozni.

( sany | 2007. 09. 28., p – 20:25 )

Erre jó az ip2ban progi.
De "iptables -A INPUT -s 218.150.162.178 -jump DROP" is segíthet! :)

----------------------------------------------------------------

Nem, ha előtte van még egy szabály -m STATE --state RELATED,ESTABLISHED -j ACCEPT cuccokkal...

Nekem ez a kedvencem (OUT_DEV2 a külső if), ha a port átrakás nem játszik az adott helyen (ami egyébként tényleg a legjobban bevált): 


${IPTABLES} -A INPUT -i ${OUT_DEV2} -m state --state RELATED,ESTABLISHED -p tcp --dport ssh -j ACCEPT
${IPTABLES} -A INPUT -i ${OUT_DEV2} -m state --state NEW -p tcp --dport ssh -m limit --limit 3/min --limit-burst 3 -j ACCEPT
${IPTABLES} -A INPUT -p tcp --dport ssh -i ${OUT_DEV2} -j DROP

Ez 3/perc kapcsolodási kísérletet enged 1 IP-ről, ha viszont már létrejött a kapcsolat, nem zavar be.

( uid_6846 | 2010. 01. 14., cs – 16:39 )

Hejhó, pedig annyira megörültem, hogy valaki manapság UHU-Linuxot használ.