Comments 101
А может это последствия кризиса?
А это целенаправленная атака или просто накрывают сервера с открытыми портами(по ssh судя по логам ходят)
а если закрыть ssh со всех айпи, только со своего открыть…
Надо просто юзать 2048-битные ключики, помимо текстовой авторизации.
как это поможет против перебора?
ключики на SSH это не только безопасность, но и удобство :)
яя себе putty/far(winscp) настраиваю на работу с конкретным ключиком и не парюсь по поводу ввода паролей :)
яя себе putty/far(winscp) настраиваю на работу с конкретным ключиком и не парюсь по поводу ввода паролей :)
Может, просто использовать несловарный пароль?
ssh надо просто перевешивать на нестандартный порт (за 1024-й)
От случайной атаки спасёт, но если решат докопаться до отдельно взятого сервера — вероятней всего по ответам сервисов поймут что и где висит. Зафаерволиться надёжней.
Кстати, если перевесить ssh, на 22й порт повесить portsentry — вполне может помочь :)
Тогда уж проще держать руку на пульсе новостей, и оперативно менять пароль как только становится известны текущая позиция в словаре перебора.
а если закрыть ssh со всех айпи, только со своего открыть…
не всегда удобно. бывает нужно порулить черт знает откуда… или IP дома динамичский, как у меня.
поэтому для себя решаю проблему подъемом OpenVPN на нестандартном порту с авторизацией сертификатами (теперь пусть брутфорсят, ага). все порты снаружи закрываю кроме VPN и публичных сервисов (http, https, etc), а из внутренней сети могу творить все что угодно :)
Накрывают по открытым портам.
похоже развлекается CIA XD
Их бы палить по этому признаку и собирать в одну базу.
Сервис IsMyComputerPartOfBotnet.com, сообщающий, светился ли мой IP-адрес (и адреса из моей подсетки) в подобных атаках, был бы востребован :)
Сервис IsMyComputerPartOfBotnet.com, сообщающий, светился ли мой IP-адрес (и адреса из моей подсетки) в подобных атаках, был бы востребован :)
Быстрее меня печатаете :)
Отличная идея для сайта, прикольный домен.
А вот вы подумайте, как работает spamhaus.
И чтобы, к примеру, гугл (или наверное для тех, у кого комп может быть в рабстве, это должны быть одноклассники какие-нить :) говорил, ваш ИП находится в базе ботов и отсылал на инструкцию по мерам, которые необходимо применить.
Фуф, моего адреса в логах нет, я не зомби!
А вообще хорошо бы создать базу бот-логов где бы человек мог автоматически проверять свой адрес и выявлять нахождение бота на своей машине.
А вообще хорошо бы создать базу бот-логов где бы человек мог автоматически проверять свой адрес и выявлять нахождение бота на своей машине.
хм кажется настает время когда придется создавать интернет внутри интернета
>Также неясно, почему злоумышленники не трогают машины под OpenBSD.
гм ;) наверное потому, что в OpenBSD под дефолту запрещено всё, что не разрешено. А так же потому, что OpenBSD — это одна из немногих OS с минимальным количеством уязвимостей за всю историю сети ;)
гм ;) наверное потому, что в OpenBSD под дефолту запрещено всё, что не разрешено. А так же потому, что OpenBSD — это одна из немногих OS с минимальным количеством уязвимостей за всю историю сети ;)
А что если изменить логин, так чтобы он начинался на последную букву альфавита. А перед тем как они будут подходить к этой букве изменить логин, чтобы он начинался на первую. Или уже сейчас можно изменить логин, чтобы он начинался на букву «А», если они ее уже прошли!
Осиротевшие боты ищут новый приют? :) Стучатся, бедные, во все двери, предлагают пароли по словарю…
Заметил, заметил, на наш сервер фряхи так и лезут, медленно переберают с разных сетей, уже поднадоело банить ипшники их.
mail.pddsl.de
mail.carena-ci.com
огорчает наличие таких костов. говорит о том что даже провайдерские сервера не особо защищены
mail.carena-ci.com
огорчает наличие таких костов. говорит о том что даже провайдерские сервера не особо защищены
Вывод: пароли нужно начинать с буквы «z».
кстати а как они перебирают? SSH, то? имен пользователей они не знаю и не могут знать, не уж то root по ssh ищут? или имена пользователей тоже перебирают, ну тогда года им врятли хватит…
вы смотрели то логи?
виноват, каюсь :(
логи показывают, что брутят с разных адресов по разным логинам и паролям. причем брутят в большом количестве.
Кстати это идея, повесить VPS и ждать улова…
Когда-то ставил. Ничего интересного, устанавливают скрипт, который сразу начинает слать спам. Причём всё автоматом делается, похоже.
/*грустно*/
жаль
жаль
Но можно узнать с какого ip присылают новый спам и раскрутить цепочку :)
мысль /*полез клепать ханипот*/
У меня тоже самое на всех компах у которых открыт ssh наружу.
Мне кажется что запрет рута по ssh и не особо тривиальные логины (не user или dad) решают проблему.
Если кому надо, могу выложить километры логов :)
Мне кажется что запрет рута по ssh и не особо тривиальные логины (не user или dad) решают проблему.
Если кому надо, могу выложить километры логов :)
Восстание машин?
Может кому пригодится. Для iptables:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s [TRUSTED_IP_IS_HERE] --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j SSHSCAN
-A SSHSCAN -m recent --set --name SSH
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j LOG --log-prefix «SSH SCAN blocked: „
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j DROP
-A SSHSCAN -j ACCEPT
и ботнеты идут гулять 5 минут после 3 неудачных попыток подбора пароля. По опыту они вообще оставляют свои попытки подбирать пароль после того, как ssh перестает их пускать.
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s [TRUSTED_IP_IS_HERE] --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j SSHSCAN
-A SSHSCAN -m recent --set --name SSH
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j LOG --log-prefix «SSH SCAN blocked: „
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j DROP
-A SSHSCAN -j ACCEPT
и ботнеты идут гулять 5 минут после 3 неудачных попыток подбора пароля. По опыту они вообще оставляют свои попытки подбирать пароль после того, как ssh перестает их пускать.
* ботнеты = боты :)
для freebsd ваш вариант = установить sshit(порт /usr/ports/security/sshit) простой перл скрип который добавляет в блокировку фаерволом ип адрес после x попыток, на y секунд
статью читали внимательно? оба варианта не рабочие, потому что
— попыток (с одного IP) крайне мало (одна, две)
— эти средства не блокируют доступ постоянно а только на некоторое время (и это правильно) по этому когда с того же IP опять придет бот через 2 дня (неделю) то бан будет уже снят
надо собирать централизованно информацию с нескольких хостов (чем больше тем лучше) чтобы правильно оценить ситуацию. если не хотите использовать denyhosts, можно написать свой вариант с централизованным syslog сервером и распространением block list-ов на защищаемые сервера каким то способом (rsync)
еще вариант научить sshd проверять адрес клиента через dnsbl и вести соответствующие списки
— попыток (с одного IP) крайне мало (одна, две)
— эти средства не блокируют доступ постоянно а только на некоторое время (и это правильно) по этому когда с того же IP опять придет бот через 2 дня (неделю) то бан будет уже снят
надо собирать централизованно информацию с нескольких хостов (чем больше тем лучше) чтобы правильно оценить ситуацию. если не хотите использовать denyhosts, можно написать свой вариант с централизованным syslog сервером и распространением block list-ов на защищаемые сервера каким то способом (rsync)
еще вариант научить sshd проверять адрес клиента через dnsbl и вести соответствующие списки
первые признаки были замечены ещё в мае 2008 года.
или оценены и наблюдения опубликованы.
у себя с в логах некоторых машин с открытым SSH (обычно это не так, но случаи бывают разные) замечал такое безобразие еще в прошлом году
или речь идет о том что факт замедления а не банального распределенного брутфорса начали наблюдать в мае?
В общем, тем кто юзает несловарные пароли бояться нечего, я так понимаю. Так что все хорошо))
А это — сскорее форма наказания для нерадивых админов, чем реальная угроза.
А это — сскорее форма наказания для нерадивых админов, чем реальная угроза.
А сегодня вход с логинами на «p» и «o» зпрещен… не самая умная была мысль перебирать в алфавитном порядке…
— сменить порт ssh на не стандартный, если вдруг вы еще этого не сделали
— запретить доступ root-у через ssh или разрешить только ему авторизоваться только по ключу (PermitRootLogin without-password)
— поставить DenyHosts, написаный на python демон следящий за попытками подбора паролей и имеющая возможность обмениваться этой информацией с другими хостами
— запретить доступ root-у через ssh или разрешить только ему авторизоваться только по ключу (PermitRootLogin without-password)
— поставить DenyHosts, написаный на python демон следящий за попытками подбора паролей и имеющая возможность обмениваться этой информацией с другими хостами
Как сменить сигнатуру sshd на OpenBSD-шную?
Мы обрубили все попытки ботов просто перенеся нужные сервисы на другой порт. Все популярные программы поддерживают выбор альтернативного порта.
Логи SSH раньше были мегабайтными за день, а теперь пустуют… Причем выделенный сервер, нигде не светился…
Логи SSH раньше были мегабайтными за день, а теперь пустуют… Причем выделенный сервер, нигде не светился…
Sign up to leave a comment.
Ботнеты, участвующие в «медленном брутфорсе», стали умнее