[Rozw.] Chyba się włamał ktoś mnie na kompa

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

mateczek
Użytkownik
Posty: 52
Rejestracja: 2008-03-25, 11:10
Lokalizacja: Człowiek bezdomny
Kontakt:

[Rozw.] Chyba się włamał ktoś mnie na kompa

Post autor: mateczek » 2008-10-01, 18:06

czy istnieje jakaś metoda na na zbanowanie określonego ip jeśli się kilka razy niepoprawnie zaloguje na ssh??

W logach pojawiają się takie wpisy

Kod: Zaznacz cały

sshd :error:Could no get shadow informac for NOUSER
czy to oznacza że do włamania już doszło czy raczej to dopiero próba odgadnięcia hasła??

i jeszcze jak odpaliłem netstata to pojawiły się połączenia z adresu ip 117.34.70.106
za pomoc z góry dziękuje
Ostatnio zmieniony 2008-10-15, 17:10 przez mateczek, łącznie zmieniany 2 razy.
http://www.marek.serwisbram.pl/LINUX.php
http://www.marek.serwisbram.pl/Slackware-compal-FL90.php

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Chyba się włamał ktoś mnie na kompa

Post autor: Pajaczek » 2008-10-01, 20:05

mateczek pisze:czy istnieje jakaś metoda na na zbanowanie określonego ip jeśli się kilka razy niepoprawnie zaloguje na ssh??
Pewnie że można... zainteresuj się modułem recent do iptables. A zreszta...

Kod: Zaznacz cały

iptables -A INPUT -p tcp --dport 22 -i $ZEWDEV -m state --state NEW -m recent --update --second 21 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --dport 22 -i $ZEWDEV -m state --state NEW -m recent --set
3-krotne błędne wpisanie w ciągu 21 sek spowoduje odcięcie maszyny od kolejnych prób.

W logach pojawiają się takie wpisy

Kod: Zaznacz cały

sshd :error:Could no get shadow informac for NOUSER
czy to oznacza że do włamania już doszło czy raczej to dopiero próba odgadnięcia hasła??

i jeszcze jak odpaliłem netstata to pojawiły się połączenia z adresu ip 117.34.70.106
za pomoc z góry dziękuje
Nie jestem pewny - nie spotkałem takiego wpisu, ale przyjrzał bym się zawartości /etc/passwd i /etc/shadow czy nie ma rozbieżności. Pytanie czy "NOUSER" jest loginem czy nazwą zmiennej co do której są wątpliwości.
Ostatnio zmieniony 2008-10-01, 20:07 przez Pajaczek, łącznie zmieniany 1 raz.

memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: [Rozw.] Chyba się włamał ktoś mnie na kompa

Post autor: memus » 2008-10-01, 21:19

Nikt Ci się nie włamał na kompa ;) A już na pewno nie wskazuje na to ten wpis w logach :)

Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: [Rozw.] Chyba się włamał ktoś mnie na kompa

Post autor: Radek_R » 2008-10-02, 08:45

mateczek pisze:czy istnieje jakaś metoda na na zbanowanie określonego ip jeśli się kilka razy niepoprawnie zaloguje na ssh??
Najlepiej jest wrzucić sshd na jakiś wysoki port. Wtedy takie kłopoty się skończą. Jeżeli jest to niemożliwe z różnych względów, można zastosować skrypt sshblack, który został właśnie stworzony do tego celu jakim jest blokowanie nadgorliwców :)
#358274
http://www.prook.net

mateczek
Użytkownik
Posty: 52
Rejestracja: 2008-03-25, 11:10
Lokalizacja: Człowiek bezdomny
Kontakt:

Re: [Rozw.] Chyba się włamał ktoś mnie na kompa

Post autor: mateczek » 2008-10-03, 15:30

logi w /var/log/mesage pokazały całą prawdę, że natrętów było wielu i niektórzy próbowali przez ładnych parę godzin:(
ale chyba jakoś im się nie udało (większość z tego co zaobserwowałem używała angielskiego słownika przy próbie odgadnięcia hasła )
trzeba było troszkę polepszyć zabezpieczenia:)
1 zmiana w iptables zgodnie z radami Pajaczka teraz wypuszczanie usług na świat wygląda u mnie tak

Kod: Zaznacz cały

 
SERVICES="http ftp ssh rsync"
........
for x in ${SERVICES}
        do
		iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -m recent --update --second 21 --hitcount 3 -j DROP 
		iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -m recent --set
		iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
        done
do pliku sshd_config dopisanie następujących wierszy

Kod: Zaznacz cały

PermitRootLogin no
MaxAuthTries 1
AllowUsers xxxxxxxx
nie może się logować root
tylko jedna próba
dopuszczony do logowania użytkownik xxxxxx
http://www.marek.serwisbram.pl/LINUX.php
http://www.marek.serwisbram.pl/Slackware-compal-FL90.php

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: [Rozw.] Chyba się włamał ktoś mnie na kompa

Post autor: Pajaczek » 2008-10-03, 16:26

mateczek pisze:logi w /var/log/mesage pokazały całą prawdę, że natrętów było wielu i niektórzy próbowali przez ładnych parę godzin:(
Nie przejmuj się... czasami przeglądając logi maszyn bez zabezpieczenia widziałem karkołomne próby... rekordzista o ile dobrze pamiętam dokonał blisko 100 tys prób w ciągu ok 12 godzin :evil: , po tym czasie go ręcznie odciąłem.

Awatar użytkownika
ondreyos
Użytkownik
Posty: 331
Rejestracja: 2007-11-01, 17:31
Lokalizacja: Poznań

Re: [Rozw.] Chyba się włamał ktoś mnie na kompa

Post autor: ondreyos » 2008-10-15, 15:00

jak chcesz sie zabezpieczyc, to moze zainteresuj sie dwoma programami : portsentry i knockd.

ODPOWIEDZ