Strona 1 z 1

Kilka dziwnych logów - ktos probóje się włamać.

: 2009-04-05, 09:58
autor: iksik
Więc tak mam parę pytań odnoście dwóch logów jakie znalazłem dzisiaj w systemie :

Kod: Zaznacz cały

Apr  5 09:33:00 eureka sshd[12142]: reverse mapping checking getaddrinfo for h-66-134-139-227.snvacaid.static.covad.net [66.134.139.227] failed - POSSIBLE BREAK-IN ATTEMPT
Ok ostatnie wyrazy rozumiem :) ale co dokładnie się dzieje ?
Ew mam pytanie jak zablokować na iptables ip które notorycznie spamuje sshd ? Gdzieś widziałem takiego posta na forum ale nie mogę go teraz znaleść :(

Kod: Zaznacz cały

Apr  5 08:59:00 eureka sshd[11800]: error: Could not get shadow information for NOUSER
Tego niestety nie za bardzo rozumiem.

Re: Kilka dziwnych logów - ktos probóje się włamać.

: 2009-04-05, 10:53
autor: maho
Wrzuc sobie fail2ban i ustaw np po 3 zlych logowaniach ban i tyle.
Zwykle boty probuja prostymi haslami na rozne konta sie zalogowac :)

Re: Kilka dziwnych logów - ktos probóje się włamać.

: 2009-04-05, 12:45
autor: miszmaniac
Możesz też zmienić port nasłuchiwania sshd, to zawsze wycina 99,9% prób brute force'a

Re: Kilka dziwnych logów - ktos probóje się włamać.

: 2009-05-06, 08:59
autor: ohmlet
Wszystko to fajnie. Mam też różne rozwiązania, które ostatecznie blokują intruza na iptables. Problem w tym, że listując iptables lista banów jest GIGANTYCZNA. Poza tym, włamywacze używają na ogół dynamicznych IP. Więc następnym razem zaatakuje z innego IP a bogu ducha winny Jaś Kowalski nie wejdzie do serwisu. Czy ktoś zna jakąś metodę by dana reguła iptables obowiązywała np przez 60 min?
Iptables posiada opcję --timestart --timestop, ale czy ktoś próbował tego? Może jakieś sugestie, przykłady?

Re: Kilka dziwnych logów - ktos probóje się włamać.

: 2009-05-06, 10:00
autor: memus
ohmlet pisze:Czy ktoś zna jakąś metodę by dana reguła iptables obowiązywała np przez 60 min?
Moduł 'recent'.

Re: Kilka dziwnych logów - ktos probóje się włamać.

: 2009-05-06, 13:10
autor: Pajaczek
Dokładnie... recent, 2 regółki i po sprawie.
ohmlet pisze:Iptables posiada opcję --timestart --timestop, ale czy ktoś próbował tego? Może jakieś sugestie, przykłady?
To służy do zupełnie innych celów, w Twoim przypadku znów miałbyś "Gigantyczna" listę, tyle że innych regół ;)

Re: Kilka dziwnych logów - ktos probóje się włamać.

: 2009-05-06, 18:09
autor: ohmlet
Ok. Dzięki wielkie.
Nawet ciekawie działa. Jednak w innych wypadkach postanowiłem zrezygnować z iptables i zastosować routing do urządzenia, którego nie ma:

Kod: Zaznacz cały

route add -host $AdresBandyty$  gw 192.168.0.240
He. po 12 minutach mam 11 bandytów w tabeli routingu. :twisted:
Usuwam ten wpis po jakimś czasie używając at
recent działa mi dobrze na porcie 22.
Poczekam i zobaczę jak się to sprawdzi...

[ Dodano: 2009-05-10, 11:16 ]
Niestety recent okazuje się bezsilny. Efekt mam taki, że w logach systemowych sshd pisze bardzo rzadko. Mimo to ataki nie zostały stłumione.
Przykład ilości prób z ostatnich 24h
60.199.248.160 (60-199-248-160.static.tfn.net.tw): 198 times \ root/password: 198 times
125.88.102.25: 1378 times \ root/password: 1378 times
80.243.61.41: 597 times \ root/password: 597 times
I tak dalej, i tak dalej...
Szukam innego rozwiązania.