домашний ftp-server. Атака?
Установил я себе vsftpd.
Выложил файло, зарегился на no-ip.org.
Всё здорово, друганы качают, все довольны.
Потом в логах заметил, что кто-то часов в 2-5 ночи начинает коннектиться (точно левый - все друзья стучатся в асю и спрашивают, не нужен ли мне в этот момент канал) и то ли качает, то ли просто просматривает содержимое каталогов...
Ок, создал пользователей, выдал друзьям логины/пароли и жил себе дальше.
Неделю назад стали поступать жалобы: идёт скачка Total Commander'ом, вдруг она застывает, помогает только перезапуск. Иногда вообще не подключиться - сервер занят. Решал так - /etc/init.d/vsftpd restart или перезагружал роутер (acorp adsl-router).
Сегодня залез в логи, а там... Ужас!
Nov 2 05:02:44 [ftp(pam_unix)] check pass; user unknown Nov 2 05:02:44 [ftp(pam_unix)] authentication failure; logname= uid=0 euid=0 tty=ftp ruser=oracle rhost=211.45.62.40
И так - примерно с трёх до пяти утра... Причем иногда до 4 раз в секнду, без перерыва...
Что это и что делать? Я могу закрыть этот ip в роутере, но поможет ли? он не пингуется, так что скорее всего - динамический и сейчас просто не задействованн.
- Для комментирования войдите или зарегистрируйтесь
Можно
Можно попробовать написать правило дропать, если больше 3-х попыток в секунду. Но тогда прийдется периодически чистить правила.
Попробуй
Попробуй прикрутить IDS или минимум заблокируй все азиатские ИПы - от туда столько идет тупых сканов ssh и ftp.
если судить по
если судить по названию темы, то да - атака.
желательно пробить все айпи (если есть), возможно место проксей будет какой реальный пров. тогда достаточно будет письма туды.
иначе, только настройков огненной стенки )
К сожалению,
К сожалению, придал значение проблеме только сегодня => ip есть только тот, что приведён в примере.
Сейчас вопрос перерос в большее...
1) как определять, с какого ip идёт нежелательный поток (скан содержимого, куча запросов, попытка подобрать пароля). т.е. не сам ip, а что это за контупер - частная машинка злоумысленника, поисковая машина, атака контуперов, зараженный вирусами. Нужно для того, чтобы определиться, как бороться
2) какие меры принимать для своевременного определения, является ли что-то атакой или можно пропустить мимо ушей (читай - глаз). Может быть, существуют некие демоны, которые анализируют траффик/логи и предоставляют вывод - атака или случайные действия кого-либо; а может быть - некие общепривычные (я в нете не очень "силён", как-то всё больше разбираюсь в локалах и простых сетях) вещи, типа сканирование твоего хомяка на *.narod.ru для для индексации в поисковой системе yandex.ru...
3) "антивири", которые могут автоматически определять состояние "угрозы", и либо просто отрубать демоны ftp/http/и т.д, либо блокировать ip, с которых идёт "нехороший" траффик. Актуально, когда меня нет дома и я не слежу, что происходит с контупером.
4) в конце концов, "библия безопасности сервера". Что почитать, чтобы знать, что может сделать нехороший человек с маленьким домашним сервером, ибо полезно знать на будущее. И, соответственно, сделать выводы.
По конкретной теме: как определить зону азиатских ip, есть ли некий черный список, который стоит внести в бан-лист не задумываясь
fail2ban - банит ip
fail2ban - банит ip по неким событиям - например читает логи ssh/ftp/http и потом банит в iptables
Quote: По
Ты лучше поменяй религию:
Вместо того, чтобы сначала разрешать доступ к FTP-портам всем и потом банить особо нехороших людей ты лучше определи сети провайдеров, которыми пользуются допущенные до твоего FTP люди и разреши доступ к FTP на твоей машине только для этих сетей.
Что, впрочем, не отменяет необходимости автоматического мониторинга логов и, при необходимости - динамического бана IP.
--
Live free or die
подсети
спасибо, так и сделал уже...
Сейчас экспериментирую с мониторингом логов
Так и делаю там
Так и делаю там где это возможно.
Но вот как быть в случае ssh, заранее узнать когда едешь в другую страну подсеть, из которой придется обратиться к серверу.
Вы просто либо не замечали, либо не хотите замечать количество сканов с азиатских ИПов. Да ладно бы сканировали, они еще и насиловать пытаются, перебирая пароли по словарям. Конечно можно много придумывать, но есть2 способа - либо перенести на другой порт, либо блокировать регион.
Тоже и с ФТП, для которого определить список подсетей из которых разрешить доступ не возможно.
IP для БАНИ
$IPTABLES -I INPUT -s 61.136.58.249 -j DROP
$IPTABLES -I INPUT -s 211.176.61.119 -j DROP
$IPTABLES -I INPUT -s 125.7.207.199 -j DROP
$IPTABLES -I INPUT -s 70.244.233.135 -j DROP
$IPTABLES -I INPUT -s 211.154.164.109 -j DROP
$IPTABLES -I INPUT -s 84.19.182.51 -j DROP
$IPTABLES -I INPUT -s 218.108.28.228 -j DROP
Эти ИП можеш сразу банить - проверенно мной :) - брутфорсят ssh
кстати после их бана, прекратились попытки взлома по ssh (всмысле прекратились совсем) последняя попытка 2июня, до этого по несколько раз в неделю в логах была подобная ругань:
Jun 2 14:35:59 localhost sshd[25494]: Invalid user satoh from 211.154.164.109
Jun 2 14:36:05 localhost sshd[25923]: Invalid user schedule from 211.154.164.109
Jun 2 14:36:09 localhost sshd[26405]: Invalid user shiga from 211.154.164.109
Jun 2 14:36:13 localhost sshd[27036]: Invalid user shigatoyopet from 211.154.164.109
Jun 2 14:36:17 localhost sshd[27562]: Invalid user shimizukogyo from 211.154.164.109
Jun 2 14:36:22 localhost sshd[27863]: Invalid user shiroyagicom from 211.154.164.109
Jun 2 14:36:27 localhost sshd[28129]: Invalid user shoshu from 211.154.164.109
Jun 2 14:36:32 localhost sshd[28782]: Invalid user sotokara from 211.154.164.109
ssh
а я ssh врубаю только внутри сети. с ноута музоном удобнее рулить :)
Не, писать в ручную IP очень не прикольно
-A INPUT -p tcp -m state --state NEW --dport 22 -m iplimit --iplimit-above 5 -j DROP
-A INPUT -m state --state NEW -p tcp --dport 22 -i ${wan} -m limit --limit 20/hour --limit-burst 5 -j ACCEPT
Подобные правила очень классно опрокинут половинут брут форсников. Правда впереди надо поставь список белых IP.
Вообще white list полезная штука. Например сейчас в стал вопрос захода из дома в офис по vpn нескольких работников.
Просто получаю список ip провайдера(выбираю только районный блок). И всё, есть список, который реально маленький и работает. 99,9% брута по ssh закончился банальной сменой порта на 2022.
dsl-router
iptables нет, хочу попробовать настроить роутер, а то один ноут под виндой, вдруг взломают...