W logach pojawiają się takie wpisy
Kod: Zaznacz cały
sshd :error:Could no get shadow informac for NOUSER
i jeszcze jak odpaliłem netstata to pojawiły się połączenia z adresu ip 117.34.70.106
za pomoc z góry dziękuje
Moderatorzy: Moderatorzy, Administratorzy
Kod: Zaznacz cały
sshd :error:Could no get shadow informac for NOUSER
Pewnie że można... zainteresuj się modułem recent do iptables. A zreszta...mateczek pisze:czy istnieje jakaś metoda na na zbanowanie określonego ip jeśli się kilka razy niepoprawnie zaloguje na ssh??
Kod: Zaznacz cały
iptables -A INPUT -p tcp --dport 22 -i $ZEWDEV -m state --state NEW -m recent --update --second 21 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --dport 22 -i $ZEWDEV -m state --state NEW -m recent --set
Nie jestem pewny - nie spotkałem takiego wpisu, ale przyjrzał bym się zawartości /etc/passwd i /etc/shadow czy nie ma rozbieżności. Pytanie czy "NOUSER" jest loginem czy nazwą zmiennej co do której są wątpliwości.W logach pojawiają się takie wpisyczy to oznacza że do włamania już doszło czy raczej to dopiero próba odgadnięcia hasła??Kod: Zaznacz cały
sshd :error:Could no get shadow informac for NOUSER
i jeszcze jak odpaliłem netstata to pojawiły się połączenia z adresu ip 117.34.70.106
za pomoc z góry dziękuje
Najlepiej jest wrzucić sshd na jakiś wysoki port. Wtedy takie kłopoty się skończą. Jeżeli jest to niemożliwe z różnych względów, można zastosować skrypt sshblack, który został właśnie stworzony do tego celu jakim jest blokowanie nadgorliwcówmateczek pisze:czy istnieje jakaś metoda na na zbanowanie określonego ip jeśli się kilka razy niepoprawnie zaloguje na ssh??
Kod: Zaznacz cały
SERVICES="http ftp ssh rsync"
........
for x in ${SERVICES}
do
iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -m recent --update --second 21 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
done
Kod: Zaznacz cały
PermitRootLogin no
MaxAuthTries 1
AllowUsers xxxxxxxx
Nie przejmuj się... czasami przeglądając logi maszyn bez zabezpieczenia widziałem karkołomne próby... rekordzista o ile dobrze pamiętam dokonał blisko 100 tys prób w ciągu ok 12 godzin , po tym czasie go ręcznie odciąłem.mateczek pisze:logi w /var/log/mesage pokazały całą prawdę, że natrętów było wielu i niektórzy próbowali przez ładnych parę godzin:(