Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

Proby wlamania sie z roznych ip

https://593930.wb34atkl.asia/viewtopic.php?t=3457

Strona 1 z 1

Proby wlamania sie z roznych ip

: 18 sierpnia 2007, 16:09
autor: glizda1125
Witam

Mam dosyc powazny problem. Ktos caly czas probuje sie wbic na moj serwer. Jesli chodzio zabezpieczenia to router przepuszcza do serwera tylko ssh plus dodatkowo ustawiane mam w ssh zabezpieczenia w postaci allowuser ktore umozliwia zalogowanie sie tylko niektorych uzytkownikow. Codziennie dostaje raporty z logwatch w ktorych ktos nagminie usiluje sie zalogowac na serwer.

Kod: Zaznacz cały

Failed logins from these:
   adm/password from 83.14.144.210: 15 Time(s)
   admin/password from 83.14.144.210: 14 Time(s)
   alex/password from 83.14.144.210: 14 Time(s)
   apache/password from 83.14.144.210: 15 Time(s)
   client/password from 83.14.144.210: 14 Time(s)
   dave/password from 83.14.144.210: 14 Time(s)
   david/password from 83.14.144.210: 13 Time(s)
   davod/password from 83.14.144.210: 1 Time(s)
   fax/password from 83.14.144.210: 14 Time(s)
   ftp/password from 83.14.144.210: 14 Time(s)
   ftpuser/password from 83.14.144.210: 15 Time(s)
   guest/password from 83.14.144.210: 14 Time(s)
   info/password from 83.14.144.210: 14 Time(s)
   james/password from 83.14.144.210: 14 Time(s)
   jason/password from 83.14.144.210: 14 Time(s)
   john/password from 83.14.144.210: 14 Time(s)
   justin/password from 83.14.144.210: 2 Time(s)
   kevin/password from 83.14.144.210: 14 Time(s)
   linda/password from 83.14.144.210: 14 Time(s)
   mail/password from 83.14.144.210: 14 Time(s)
   mailtest/password from 83.14.144.210: 12 Time(s)
   mark/password from 83.14.144.210: 14 Time(s)
   mike/password from 83.14.144.210: 14 Time(s)
   mysql/password from 83.14.144.210: 14 Time(s)
....
Pierwsze co zrobilem to dodalem te ip do /etc/hosts.deny no ale to zawiele nie pomoglo bo serwer kazdego dnia jest atakowany z innego ip. Po tygoniu lista zbanowanych ip wzrosla do kilkudziezsieciu i codziennie rosnie. Domyslam sie ze ktos kto uzywa serwera proxy i dzieki temu zmienia co jakis czas swoje ip. Nie mam narazie pomyslu jak wyjsc z tego problemu, jedyne co mi naszlo na mysl to po cichu zmienic swoje ip tak zeby nikt nie wiedzial. Jesli moje rozumowanie jest bledne i ide w zla strone to poprawciemnie albo napiszcie co mozna z tym zrobic. Jak narazie zabezpieczenia ktore sa ustawione to wystarczaja ale chcialbym to jeszcze jakos dopracowac.

pozdrawiam
glizda1125

: 18 sierpnia 2007, 16:32
autor: loleq
- Zmień port na którym działa ssh.
- Zainteresuj się fail2ban.

: 18 sierpnia 2007, 17:05
autor: Rad
To normalne - zrób to co zasugerował loleq, ewentualnie zamiast fail2ban możesz użyć denyhosts. Można również ustawić odpowiednie regułki w iptables, które blokują po 3 nieudanych próbach zalogowania. A po zmianie portu praktycznie nie będzie żadnych ataków.

: 18 sierpnia 2007, 17:17
autor: glizda1125
loleq pisze:- Zmień port na którym działa ssh.
Nie wiem czy to cos da bo przy skanowaniu portow bedzie widac i tak dziure na tym zmienionym porcie. Caly czas zastanawiam sie w jaki sposob ktos to robi czy sa jakies moze programy do automatycznego logowania bo raczej sam by tego nie pisal?

Jesli chodzi o iptables to prosilbym o podpowiedz z taregula banowania po kilku nieudanych poclaczeniach, postaram sie sam to znalesc ale zawsze taka podpowiedz na forum moze sie komus innemu przydac.

: 18 sierpnia 2007, 17:26
autor: loleq
glizda1125 pisze:Nie wiem czy to cos da
To spróbuj - a będziesz wiedział ;-)

: 18 sierpnia 2007, 17:34
autor: Rad
glizda1125 pisze:Nie wiem czy to cos da bo przy skanowaniu portow bedzie widac i tak dziure na tym zmienionym porcie. Caly czas zastanawiam sie w jaki sposob ktos to robi czy sa jakies moze programy do automatycznego logowania bo raczej sam by tego nie pisal?
To są automaty, które skanują całe pule adresów ip w poszukiwaniu otwartego 22. Każdy ma takie ataki.
Jesli chodzi o iptables to prosilbym o podpowiedz z taregula banowania po kilku nieudanych poclaczeniach, postaram sie sam to znalesc ale zawsze taka podpowiedz na forum moze sie komus innemu przydac.
http://mklimek.org/comments/feed/
Tu masz przykład w którymś komentarzu. Różnie to można porobić.

: 18 sierpnia 2007, 17:41
autor: glizda1125
Wielkie dzieki za szybkie info. Zaraz zaczynam dzialac. Moze ktos cos jeszcze napisze bo to calkiem ciekawy temat i wielu osobom zwlaszcza poczatkujacym napewno sie przyda.

: 18 sierpnia 2007, 21:11
autor: castor
glizda1125 pisze:Moze ktos cos jeszcze napisze bo to calkiem ciekawy temat i wielu osobom zwlaszcza poczatkujacym napewno sie przyda.
loleq juz wyczerpal temat piszac fail2ban

: 19 sierpnia 2007, 07:45
autor: neila
Warto otworzyć port jak potrzeba: polecam knockd

Kod: Zaznacz cały

#apt-get install knockd

Kod: Zaznacz cały

/etc/knockd.conf
  1 [options]
  2         logfile = /var/log/knockd.log
  3 
  4 [openSSH]
  5         sequence    = 7007,8808,9999
  6         seq_timeout = 5
  7         command     = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  8         tcpflags    = syn
  9 
 10 [closeSSH]
 11         sequence    = 9999,8808,7007
 12         seq_timeout = 5
 13         command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
 14         tcpflags    = syn
Otwarcie:

Kod: Zaznacz cały

$knock foo.com 7007 8808 9999
Zamknięcie:

Kod: Zaznacz cały

$knock foo.com 9999 8808 7007
Strefa czasowa UTC+01:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl