Главная » Форум » Gentoo Linux » Системное администрирование

Безопасность Calculate Directory Serve

vitek 15 января, 2009 - 00:59

Администрирую пару серверов на этом дистрибутиве, тестовый домашний и тестовый на работе. Сегодня обратил внимание на то что серваки явно "брутфорсят" причем с одних и тех же ip делаю вывод по строчкам такого вида

Jan 14 09:09:22 simahkos1 sshd[25257]: Invalid user linuxtester2 from 206.156.254.219
Jan 14 09:09:24 simahkos1 sshd[25263]: Invalid user linuxtester from 206.156.254.219
Jan 14 09:09:26 simahkos1 sshd[25269]: Invalid user linuxtest from 206.156.254.219
Jan 14 09:09:28 simahkos1 sshd[25275]: Invalid user test from 206.156.254.219
Jan 14 09:09:30 simahkos1 sshd[25281]: Invalid user test from 206.156.254.219
Jan 14 09:09:32 simahkos1 sshd[25287]: Invalid user admissions from 206.156.254.219
Jan 14 09:09:34 simahkos1 sshd[25293]: Invalid user lebedev from 206.156.254.219

До этого на домашнем сервере стоял чистый генту с апачем и ссш смотрящими наружу, и все было ок.

Вопрос может это какаято хитрая уязвимость Calculate Directory Serve?

+ я пару раз пытался залогинится на серваках с помощью zaTelnet со смарта (Ginza) ниразу не получилось, получаю окно терминала с надписью о версии ссш сервера и все, как залогинится так и не допер.

Учитывая что серваки нигде не светились, и судя по всему взломаны пока небыли возникает вопрос как кто либо мог узнать об этих IP и начать их брутфорсить. И как сделать сервера максимально безопасными в такой ситуации.

‹ Боян про софтварный рейд ReiserFS при загрузке ›
»

сеть постоянно сканят, в

Автор evadim, дата создания 15 января, 2009 - 01:11.

сеть постоянно сканят, в среднем подключенный к сети комп находят часа за 4, и начинают ломать. а как действовать - я поставил fail2ban и теперь атакующих банит iptables

»

Думаю я так и сделаю. пока

Автор vitek, дата создания 15 января, 2009 - 01:37.

Думаю я так и сделаю. пока домашний сервер просто не пускаю наружу, а рабочий все ещё под ударом, там буду делать как можно быстрее. По вопросам буду отписываться. Спасибо за советы!

»

Всмысле войти по ssh не

Автор calculator, дата создания 15 января, 2009 - 01:18.

Всмысле войти по ssh не можете? На самом деле это просто: в linux это команда ssh. В win есть клиент putty...
Если сервера имеют внешний IP - брутфорс на них обычная практика к сожалению. Для защиты можно порекомендовать перевесить порт ssh на другой только Вам известный номер, либо защищаться с помощью фаервола и разрешить доступ только с определенных ip, либо использовать активную защиту на основе fail2ban которая после нескольких неудачных попыток будет блокировать атакуещего на определенный срок. Если что-то не понятно, не расстраивайтесь, спрашивайте.

»

По SSH не могу войти только с

Автор vitek, дата создания 15 января, 2009 - 01:34.

По SSH не могу войти только с телефона, не могу разобраться с софтом (zaTelnet). Так то с ssh все нормально, со своего домашнего компа конекчусь куда хочу :)
Признаюсь честно вопрос много, так как только начинаю осваивать сеть, но думаю на большинство вопросов ответит поиск, но если что то не найду то обязательно буду спрашивать, спасибо за готовность оказать помощь.

Что касается первода ssh на другой порт я думаю это безполезно так как nmap с легкостью найдет нужный порт. Что касается фаирволов то пожалуй сейчас я задумался на эту тему очень серьёзно, никогда рантше такого значения фаирволам на Linux я не предавал. Буду искать инфу по fail2ban, идея мне нравится.

Кстати IP с которых меня брутфорсят я нашол на вот этом ресурсе http://dronebl.org/index.do никто незнает что это такое и как этим воспользоваться. Я немного почитал, но в силу нехватки знаний не все понял.

»

Подавляющее большинство

Автор calculator, дата создания 15 января, 2009 - 01:57.

Подавляющее большинство сканеров обычно ведет целенаправленную разветку на популярные сервисы, так что от такого рода сканов смена порта вполне годится. DroneBL ведет список неблагонадежных IP. Для домашнего сервера наврятли понадобится.

»

перевод ssh на другой порт -

Автор Nikoli, дата создания 15 января, 2009 - 01:57.

перевод ssh на другой порт - очень полезно, после этой меры ко мне ещё никто по ssh не ломанулся :)
просто стучать каждому компу на 10 портов куда осуществимее, чем на все 65536 ;) советую для всех служб использовать нестандартные порты - из интернета ломать будет сложнее...

»

Убедили попробую

Автор vitek, дата создания 15 января, 2009 - 02:10.

Убедили попробую

»

Каждый день такое

Автор develcore, дата создания 15 января, 2009 - 02:13.

# Anti-ssh-bruteforce
iptables -A INPUT -p tcp --syn --dport ssh -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport ssh -m recent --name radiator --update --seconds 30 --hitcount 3 -j DROP

»

я использую немного другие

Автор Nikoli, дата создания 15 января, 2009 - 02:37.

я использую немного другие команды, которые ещё и логи делают:

chains="DROP-port DROP-SSH DROP-other"
for chain in $chains;
do
$IPT -N $chain 2> /dev/null
$IPT -A $chain -j LOG --log-prefix \'$chain:\'
$IPT -A $chain -j DROP
done

$IPT -A INPUT -p tcp -m tcp --dport $SSH -m state --state NEW -m recent --set --name ssh_attempt --rsource
$IPT -A INPUT -p tcp -m tcp --dport $SSH -m state --state NEW -m recent --update --seconds 60 --hitcount 4 --name ssh_attempt --rsource -j DROP-SSH

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".