Kilka dziwnych logów - ktos probóje się włamać.

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

iksik
Użytkownik
Posty: 22
Rejestracja: 2008-02-21, 09:59

Kilka dziwnych logów - ktos probóje się włamać.

Post autor: iksik »

Więc tak mam parę pytań odnoście dwóch logów jakie znalazłem dzisiaj w systemie :

Kod: Zaznacz cały

Apr  5 09:33:00 eureka sshd[12142]: reverse mapping checking getaddrinfo for h-66-134-139-227.snvacaid.static.covad.net [66.134.139.227] failed - POSSIBLE BREAK-IN ATTEMPT
Ok ostatnie wyrazy rozumiem :) ale co dokładnie się dzieje ?
Ew mam pytanie jak zablokować na iptables ip które notorycznie spamuje sshd ? Gdzieś widziałem takiego posta na forum ale nie mogę go teraz znaleść :(

Kod: Zaznacz cały

Apr  5 08:59:00 eureka sshd[11800]: error: Could not get shadow information for NOUSER
Tego niestety nie za bardzo rozumiem.
maho
Użytkownik
Posty: 455
Rejestracja: 2006-03-25, 12:28
Lokalizacja: Kielcowo

Re: Kilka dziwnych logów - ktos probóje się włamać.

Post autor: maho »

Wrzuc sobie fail2ban i ustaw np po 3 zlych logowaniach ban i tyle.
Zwykle boty probuja prostymi haslami na rozne konta sie zalogowac :)
miszmaniac
Moderator
Posty: 1510
Rejestracja: 2006-03-19, 12:00
Lokalizacja: Gdynia
Kontakt:

Re: Kilka dziwnych logów - ktos probóje się włamać.

Post autor: miszmaniac »

Możesz też zmienić port nasłuchiwania sshd, to zawsze wycina 99,9% prób brute force'a
Pamiętaj,
Jeśli Twój problem został rozwiązany dopisz [b] [Rozw.] [/b]w tytule.
Projektowanie stron WWW: [url=http://www.miszewski.net.pl]www.miszewski.net.pl[/url]
Awatar użytkownika
ohmlet
Użytkownik
Posty: 4
Rejestracja: 2008-03-31, 20:41
Kontakt:

Re: Kilka dziwnych logów - ktos probóje się włamać.

Post autor: ohmlet »

Wszystko to fajnie. Mam też różne rozwiązania, które ostatecznie blokują intruza na iptables. Problem w tym, że listując iptables lista banów jest GIGANTYCZNA. Poza tym, włamywacze używają na ogół dynamicznych IP. Więc następnym razem zaatakuje z innego IP a bogu ducha winny Jaś Kowalski nie wejdzie do serwisu. Czy ktoś zna jakąś metodę by dana reguła iptables obowiązywała np przez 60 min?
Iptables posiada opcję --timestart --timestop, ale czy ktoś próbował tego? Może jakieś sugestie, przykłady?
Ostatnio zmieniony 2009-05-06, 09:00 przez ohmlet, łącznie zmieniany 1 raz.
memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: Kilka dziwnych logów - ktos probóje się włamać.

Post autor: memus »

ohmlet pisze:Czy ktoś zna jakąś metodę by dana reguła iptables obowiązywała np przez 60 min?
Moduł 'recent'.
Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Kilka dziwnych logów - ktos probóje się włamać.

Post autor: Pajaczek »

Dokładnie... recent, 2 regółki i po sprawie.
ohmlet pisze:Iptables posiada opcję --timestart --timestop, ale czy ktoś próbował tego? Może jakieś sugestie, przykłady?
To służy do zupełnie innych celów, w Twoim przypadku znów miałbyś "Gigantyczna" listę, tyle że innych regół ;)
Awatar użytkownika
ohmlet
Użytkownik
Posty: 4
Rejestracja: 2008-03-31, 20:41
Kontakt:

Re: Kilka dziwnych logów - ktos probóje się włamać.

Post autor: ohmlet »

Ok. Dzięki wielkie.
Nawet ciekawie działa. Jednak w innych wypadkach postanowiłem zrezygnować z iptables i zastosować routing do urządzenia, którego nie ma:

Kod: Zaznacz cały

route add -host $AdresBandyty$  gw 192.168.0.240
He. po 12 minutach mam 11 bandytów w tabeli routingu. :twisted:
Usuwam ten wpis po jakimś czasie używając at
recent działa mi dobrze na porcie 22.
Poczekam i zobaczę jak się to sprawdzi...

[ Dodano: 2009-05-10, 11:16 ]
Niestety recent okazuje się bezsilny. Efekt mam taki, że w logach systemowych sshd pisze bardzo rzadko. Mimo to ataki nie zostały stłumione.
Przykład ilości prób z ostatnich 24h
60.199.248.160 (60-199-248-160.static.tfn.net.tw): 198 times \ root/password: 198 times
125.88.102.25: 1378 times \ root/password: 1378 times
80.243.61.41: 597 times \ root/password: 597 times
I tak dalej, i tak dalej...
Szukam innego rozwiązania.
ODPOWIEDZ