Proby wlamania sie z roznych ip
 
 

Tematy
 
    
 

 

 

 

Proby wlamania sie z roznych ip




glizda1125 - 18-08-2007 16:09
Witam

Mam dosyc powazny problem. Ktos caly czas probuje sie wbic na moj serwer. Jesli chodzio zabezpieczenia to router przepuszcza do serwera tylko ssh plus dodatkowo ustawiane mam w ssh zabezpieczenia w postaci allowuser ktore umozliwia zalogowanie sie tylko niektorych uzytkownikow. Codziennie dostaje raporty z logwatch w ktorych ktos nagminie usiluje sie zalogowac na serwer.

Failed logins from these:
  adm/password from 83.14.144.210: 15 Time(s)
  admin/password from 83.14.144.210: 14 Time(s)
  alex/password from 83.14.144.210: 14 Time(s)
  apache/password from 83.14.144.210: 15 Time(s)
  client/password from 83.14.144.210: 14 Time(s)
  dave/password from 83.14.144.210: 14 Time(s)
  david/password from 83.14.144.210: 13 Time(s)
  davod/password from 83.14.144.210: 1 Time(s)
  fax/password from 83.14.144.210: 14 Time(s)
  ftp/password from 83.14.144.210: 14 Time(s)
  ftpuser/password from 83.14.144.210: 15 Time(s)
  guest/password from 83.14.144.210: 14 Time(s)
  info/password from 83.14.144.210: 14 Time(s)
  james/password from 83.14.144.210: 14 Time(s)
  jason/password from 83.14.144.210: 14 Time(s)
  john/password from 83.14.144.210: 14 Time(s)
  justin/password from 83.14.144.210: 2 Time(s)
  kevin/password from 83.14.144.210: 14 Time(s)
  linda/password from 83.14.144.210: 14 Time(s)
  mail/password from 83.14.144.210: 14 Time(s)
  mailtest/password from 83.14.144.210: 12 Time(s)
  mark/password from 83.14.144.210: 14 Time(s)
  mike/password from 83.14.144.210: 14 Time(s)
  mysql/password from 83.14.144.210: 14 Time(s)
.... Pierwsze co zrobilem to dodalem te ip do /etc/hosts.deny no ale to zawiele nie pomoglo bo serwer kazdego dnia jest atakowany z innego ip. Po tygoniu lista zbanowanych ip wzrosla do kilkudziezsieciu i codziennie rosnie. Domyslam sie ze ktos kto uzywa serwera proxy i dzieki temu zmienia co jakis czas swoje ip. Nie mam narazie pomyslu jak wyjsc z tego problemu, jedyne co mi naszlo na mysl to po cichu zmienic swoje ip tak zeby nikt nie wiedzial. Jesli moje rozumowanie jest bledne i ide w zla strone to poprawciemnie albo napiszcie co mozna z tym zrobic. Jak narazie zabezpieczenia ktore sa ustawione to wystarczaja ale chcialbym to jeszcze jakos dopracowac.

pozdrawiam
glizda1125


loleq - 18-08-2007 16:32
- Zmień port na którym działa ssh.
- Zainteresuj się fail2ban.


Rad - 18-08-2007 17:05
To normalne - zrób to co zasugerował loleq, ewentualnie zamiast fail2ban możesz użyć denyhosts. Można również ustawić odpowiednie regułki w iptables, które blokuj± po 3 nieudanych próbach zalogowania. A po zmianie portu praktycznie nie będzie żadnych ataków.


glizda1125 - 18-08-2007 17:17

- Zmień port na którym działa ssh. Nie wiem czy to cos da bo przy skanowaniu portow bedzie widac i tak dziure na tym zmienionym porcie. Caly czas zastanawiam sie w jaki sposob ktos to robi czy sa jakies moze programy do automatycznego logowania bo raczej sam by tego nie pisal?

Jesli chodzi o iptables to prosilbym o podpowiedz z taregula banowania po kilku nieudanych poclaczeniach, postaram sie sam to znalesc ale zawsze taka podpowiedz na forum moze sie komus innemu przydac.


loleq - 18-08-2007 17:26

Nie wiem czy to cos da To spróbuj - a będziesz wiedział ;-)


Rad - 18-08-2007 17:34

Nie wiem czy to cos da bo przy skanowaniu portow bedzie widac i tak dziure na tym zmienionym porcie. Caly czas zastanawiam sie w jaki sposob ktos to robi czy sa jakies moze programy do automatycznego logowania bo raczej sam by tego nie pisal? To s± automaty, które skanuj± całe pule adresów ip w poszukiwaniu otwartego 22. Każdy ma takie ataki.

http://mklimek.org/comments/feed/
Tu masz przykład w którym¶ komentarzu. Różnie to można porobić.


glizda1125 - 18-08-2007 17:41
Wielkie dzieki za szybkie info. Zaraz zaczynam dzialac. Moze ktos cos jeszcze napisze bo to calkiem ciekawy temat i wielu osobom zwlaszcza poczatkujacym napewno sie przyda.


castor - 18-08-2007 21:11

Moze ktos cos jeszcze napisze bo to calkiem ciekawy temat i wielu osobom zwlaszcza poczatkujacym napewno sie przyda. loleq juz wyczerpal temat piszac fail2ban


neila - 19-08-2007 07:45
Warto otworzyć port jak potrzeba: polecam knockd
#apt-get install knockd /etc/knockd.conf
  1 [options]
  2        logfile = /var/log/knockd.log
  3
  4 [openSSH]
  5        sequence    = 7007,8808,9999
  6        seq_timeout = 5
  7        command    = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
  8        tcpflags    = syn
  9
 10 [closeSSH]
 11        sequence    = 9999,8808,7007
 12        seq_timeout = 5
 13        command    = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
 14        tcpflags    = syn Otwarcie:
$knock foo.com 7007 8808 9999 Zamknięcie:
$knock foo.com 9999 8808 7007
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • minister.pev.pl

    •  

     


     
    		 
    Copyright 2003. MĂłj serwis