Megprobalnak betorni?

Security-all

Oct 25 08:07:41 zeus sshd[6621]: Server listening on :: port 22.
Oct 25 08:07:41 zeus sshd[6621]: error: Bind to port 22 on 0.0.0.0 failed: Address already in use.
Oct 25 08:07:45 zeus sshd[6673]: Address 60.199.245.16 maps to 16.60-199-245.yam.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct 25 08:07:45 zeus sshd[6673]: Invalid user collins from 60.199.245.16
Oct 25 08:07:45 zeus sshd[6673]: pam_unix(ssh:auth): check pass; user unknown
Oct 25 08:07:45 zeus sshd[6673]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.199.245.16 
Oct 25 08:07:46 zeus sshd[6673]: Failed password for invalid user collins from 60.199.245.16 port 54776 ssh2
Oct 25 08:07:49 zeus sshd[7393]: Address 60.199.245.16 maps to 16.60-199-245.yam.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct 25 08:07:49 zeus sshd[7393]: Invalid user claudia from 60.199.245.16
Oct 25 08:07:49 zeus sshd[7393]: pam_unix(ssh:auth): check pass; user unknown
Oct 25 08:07:49 zeus sshd[7393]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.199.245.16 
Oct 25 08:07:50 zeus sshd[7393]: Failed password for invalid user claudia from 60.199.245.16 port 54926 ssh2
Oct 25 08:07:54 zeus sshd[7883]: Address 60.199.245.16 maps to 16.60-199-245.yam.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct 25 08:07:54 zeus sshd[7883]: Invalid user claudia from 60.199.245.16
Oct 25 08:07:54 zeus sshd[7883]: pam_unix(ssh:auth): check pass; user unknown
Oct 25 08:07:54 zeus sshd[7883]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.199.245.16 
Oct 25 08:07:56 zeus sshd[7883]: Failed password for invalid user claudia from 60.199.245.16 port 55044 ssh2
Oct 25 08:07:59 zeus sshd[7986]: Address 60.199.245.16 maps to 16.60-199-245.yam.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct 25 08:07:59 zeus sshd[7986]: Invalid user claudia from 60.199.245.16
Oct 25 08:07:59 zeus sshd[7986]: pam_unix(ssh:auth): check pass; user unknown
Oct 25 08:07:59 zeus sshd[7986]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.199.245.16 
Oct 25 08:08:01 zeus sshd[7986]: Failed password for invalid user claudia from 60.199.245.16 port 55198 ssh2
Oct 25 08:08:04 zeus sshd[8010]: Address 60.199.245.16 maps to 16.60-199-245.yam.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct 25 08:08:04 zeus sshd[8010]: Invalid user alexander from 60.199.245.16
Oct 25 08:08:04 zeus sshd[8010]: pam_unix(ssh:auth): check pass; user unknown
Oct 25 08:08:04 zeus sshd[8010]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.199.245.16 
Oct 25 08:08:06 zeus sshd[8010]: Failed password for invalid user alexander from 60.199.245.16 port 55331 ssh2
Oct 25 08:08:09 zeus sshd[8012]: Address 60.199.245.16 maps to 16.60-199-245.yam.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct 25 08:08:09 zeus sshd[8012]: Invalid user alexander from 60.199.245.16
Oct 25 08:08:09 zeus sshd[8012]: pam_unix(ssh:auth): check pass; user unknown
Oct 25 08:08:09 zeus sshd[8012]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.199.245.16 
Oct 25 08:08:11 zeus sshd[8012]: Failed password for invalid user alexander from 60.199.245.16 port 55474 ssh2
Oct 25 08:08:14 zeus sshd[8014]: Address 60.199.245.16 maps to 16.60-199-245.yam.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct 25 08:08:14 zeus sshd[8014]: Invalid user alexander from 60.199.245.16
Oct 25 08:08:14 zeus sshd[8014]: pam_unix(ssh:auth): check pass; user unknown
Oct 25 08:08:14 zeus sshd[8014]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.199.245.16 
Oct 25 08:08:16 zeus sshd[8014]: Failed password for invalid user alexander from 60.199.245.16 port 55605 ssh2
Oct 25 08:08:18 zeus sshd[8016]: Address 60.199.245.16 maps to 16.60-199-245.yam.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct 25 08:08:18 zeus sshd[8016]: Invalid user aaron from 60.199.245.16
Oct 25 08:08:18 zeus sshd[8016]: pam_unix(ssh:auth): check pass; user unknown
Oct 25 08:08:18 zeus sshd[8016]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.199.245.16 
Oct 25 08:08:20 zeus sshd[8016]: Failed password for invalid user aaron from 60.199.245.16 port 55741 ssh2
Oct 25 08:08:23 zeus sshd[8018]: Address 60.199.245.16 maps to 16.60-199-245.yam.com, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Oct 25 08:08:23 zeus sshd[8018]: Invalid user aaron from 60.199.245.16
Oct 25 08:08:23 zeus sshd[8018]: pam_unix(ssh:auth): check pass; user unknown
Oct 25 08:08:23 zeus sshd[8018]: pam_unix(ssh:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=60.199.245.16 
Oct 25 08:08:25 zeus sshd[8018]: Failed password for invalid user aaron from 60.199.245.16 port 55862 ssh2

Volna par kerdesem ezzel a log reszlettel kapcsolatban:
1)mi hasznalhatja a 22 portot?
2)megprobalnak betorni ssh keresztul?

( zwei | 2007. 10. 25., cs – 09:35 )

1. sshd
2. igen

Így első ötletre úgy tűnik, mintha mégegy ssh daemon el akarna indulni (vagy valami ami annak álcázza magát), de nem tud, mert már fut a 22-es porton egy ssh (gondolom az eredeti)
Utána valaki a 22-es porton akar belépegetni, ssh-n keresztül.

Lehet, hogy valahogy felkerült egy módosított sshd a rendszeredre (ami nem tud elindulni), és azon keresztül akarnának bejönni?

Csak tipp, de azért végignézném, van -e valahol sshd nevű program azon a gépen az eredetin kívül...


zero@zeus:~$ locate sshd
/usr/share/man/man8/sshd.8.gz
/usr/share/man/man5/sshd_config.5.gz
/usr/share/vim/vim71/syntax/sshdconfig.vim
...
/usr/sbin/sshd
/etc/ssh/sshd_config
/etc/webmin/sshd
/etc/webmin/sshd/config

a "..." par konyvtar /usr/share/webmin -ben, tele keppel meg perl scriptel.

( sati | 2007. 10. 25., cs – 09:38 )

En is talalkoztam mar hasonloval. En akkor arra jutottam (mert, hogy tul "standard" felhasznalo nevekkel probalkoztak), hogy valszeg csak egy "bot" kutakodik a neten sebezheto gepek utan.
Ennek az a lenyege, hogy megprobaljak feltorni a gepeket, es ha sikerult, akkor ugynevezett zombi gepekke teszik oket.
Aztan a gonosztevo tamadonak sok probalkozas (es sok siker) utan, lesz egy mondjuk tobb szaz gepbol allo zombigep halozata, aminek az eroforrasait hasznalhatja. (errol persze te semmit sem tudsz, esetleg azt, hogy a Windows mar megint belassult) :)
Aztan ezt a sok gepet eladja, vagy hasznalhatja kodtoresre is, de ezenkivul sok masra meg....

( Proci85 v | 2007. 10. 25., cs – 09:56 )

amit én szoktam ilyen esetek elkerülése végett:
- ssh portot eltoltni pl. 10.000-es tartományba
- tűzfalon beállitani, hogy erre a portra csak az általam használt IP cimekről lehessen bejönni (suli, otthon, stb)
- _csal_kulcs alapú azonositás

Hajdanán már az első ssh inditással rá 1 órával több ezer hasonló sorral telt meg a log. De a fentiek után sokkal nyugodtabban alszom:)

Igen, itt kompromisszumot kell kötni. Dinamikus ip-nél egy tartomanyt adok meg ami között áltban változni szokott (meg igy is szukitettunk, mintha minden IProl jöhetnének), ha nagyon sok tartományt használ, akkor feladom és inkább egy kevésbé frekventált szerverről ugrok át oda (természetesen igy minden dinamikus IP tartományt ki lehet szedni, bent hagyva csak az ugródeszkának használt szerver fix ip-jét.)

Ha több szervered is van, és fontos, hogy bármikor be tudj rájuk lépni akkor viszont csak szivatod magad ezekkel.
Egy jó erős jelszó, és a root belépés tiltása az esetek többségében elegendő biztonságot ad.

A biztonsághoz hozzáadott értéke csak a kulcs alapú belépésnek, ill. a fix IP-kről való belépési lehetőségnek van, ez utóbbival meg jól megszivatod magad ha nem érhető el az a szerver amin keresztül be tudsz lépni, ill. dinamikus IP-t (is) használsz belépéshez.

A legtöbb szerverfeltörést különben is, elcseszett PHP,cgi,ill egyéb szoftverbugokon keresztül csinálják, ssh-n leginkább triviális jelszó miatt jönnek be.

( kupcsik v | 2007. 10. 25., cs – 13:56 )

Csak probalkoznak. Ha a jelszavad eros, akkor ebbol biztos nem lesz gond. Ja, es ha nem hasznalod az ssh-t akkor foloslegesen fut, tehat ajanlott leallitani az sshd szolgaltatast.

( dudikoph | 2007. 10. 25., cs – 14:51 )

Nem kell izgulnod. Ez egy szolista alapu feltoresi kiserlet, az altalam uzemeltetett szerverekre naponta tobb 10.000, neha tobb 100.000 ilyen belepesi kiserlet erkezik... Az ssh1 es root login legyen letiltva, es legyen egy eros jelszo. Es amit Proci85 irt, ha olyan jellegu a szerver. Illetve futtasd le a nessus-t.

Ha meg akarsz gyozodni arrol, sikerult-e nekik, akkor vagy logturkalas, de meg inkabb rkhunter es chkrootkit, ezek tobbsegeben a rendszerbinarisok epseget ellnorzik, tehat pl modositotta-e vki ugy az iment emlitett top-ot vagy ps-t, hogy bizonyos processzeket nem mutasson. Valamint ha a /proc-bol szeded elo a futo folyamatokat, azt ugy tudom nem igazan lehet megberhelni, igy az valos folyamatlistat fog mutatni.

( szabek | 2007. 10. 25., cs – 15:04 )

Én még egy fail2ban-t is feltennék... egyszerű, de hatásos...