URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 64823
[ Назад ]
Исходное сообщение
"кто-то лезет по ssh"
Отправлено Jan , 15-Мрт-06 17:28 
Всем привет!
След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я понимаю, можно только физически отключить комп на ночь - ведь хоть данному хакеру не удается сломать пароль рута, но пакеты-то он шлет, поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли такой бешеный рост трафика при переборе паролей по ssh при приличном количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!
Содержание
Сообщения в этом обсуждении
"кто-то лезет по ssh"
Отправлено Император , 15-Мрт-06 17:36 
>Всем привет!
>След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей
>на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я
>понимаю, можно только физически отключить комп на ночь - ведь хоть
>данному хакеру не удается сломать пароль рута, но пакеты-то он шлет,
>поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по
>какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли
>такой бешеный рост трафика при переборе паролей по ssh при приличном
>количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!


Ну не думаю, что траффик огромен да и не один ты такой кого постоянно перебирают. Как вариант пересади ssh на порт выше.

"кто-то лезет по ssh"
Отправлено Jan , 15-Мрт-06 17:45 
>Ну не думаю, что траффик огромен да и не один ты такой
>кого постоянно перебирают. Как вариант пересади ssh на порт выше.

А если перебирать очень быстро? С нехилой скоростью? Или, предположим, ssh не может так поднять траффик. ФТП отключен, сайт, ДНС - тоже. Все вырублено нафиг. Но трафик растет каждую ночь, как грибы. Где искать, какой сервис может так поднять инкаминг-трафик?? Только не говорите, что у меня сервак ночью сам себе порнуху гигами качает. Кто сталкивался с такой проблемой, куда смотреть, где копать??

"кто-то лезет по ssh"
Отправлено Den , 16-Мрт-06 02:32 
В sshd_config пропиши:
AllowUsers den@112.112.34.10  и спи спокойно
"кто-то лезет по ssh"
Отправлено onorua , 16-Мрт-06 06:49 
>>Ну не думаю, что траффик огромен да и не один ты такой
>>кого постоянно перебирают. Как вариант пересади ssh на порт выше.
>
>А если перебирать очень быстро? С нехилой скоростью? Или, предположим, ssh не
>может так поднять траффик. ФТП отключен, сайт, ДНС - тоже. Все
>вырублено нафиг. Но трафик растет каждую ночь, как грибы. Где искать,
>какой сервис может так поднять инкаминг-трафик?? Только не говорите, что у
>меня сервак ночью сам себе порнуху гигами качает. Кто сталкивался с
>такой проблемой, куда смотреть, где копать??

Я однажды тестил конфигурацию апача на секьюрность. За 2 скана сожрало 20 метров. Так что думаю что это может быть... но... поищи в торону скриптов, которые лочат на уровне фаервола, если был запрос по неправильному логину или на рута. Я такой видел на перле. Вот не помню где.

"кто-то лезет по ssh"
Отправлено satelit , 16-Мрт-06 07:08 
>Всем привет!
>След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей
>на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я
>понимаю, можно только физически отключить комп на ночь - ведь хоть
>данному хакеру не удается сломать пароль рута, но пакеты-то он шлет,
>поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по
>какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли
>такой бешеный рост трафика при переборе паролей по ssh при приличном
>количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!

Если надо решить проблему локально, чисто саша, то перевесить на дркгой порт и правка sshd_config, если глобально, т.е. все подобные подключения и сканы на все порты и сервисы, то тогда SNORT или PORTSENTRY, какой больше вам подходит.

"кто-то лезет по ssh"
Отправлено Jan , 16-Мрт-06 07:53 
>Если надо решить проблему локально, чисто саша, то перевесить на дркгой порт
>и правка sshd_config, если глобально, т.е. все подобные подключения и сканы
>на все порты и сервисы, то тогда SNORT или PORTSENTRY, какой
>больше вам подходит.

Насчет portsentry - прога спасет при переборе паролей? Ведь сканирования нет, идет просто перебор...вот в чем фишка

"кто-то лезет по ssh"
Отправлено satelit , 16-Мрт-06 08:52 
>Насчет portsentry - прога спасет при переборе паролей? Ведь сканирования нет, идет
>просто перебор...вот в чем фишка

1) перевесить на другой порт
2) ограничить количество подключений в 1 подключение в секунду, быстрее ты всеравно не сможешь руками сделать.
3) разрешить на подключение только свои подсети, ну или на крайний случай сети своего города или того прова с которого ты будешь заходить на сервак снаружи.
4) SNORT PORTSENTRY не помню какой точно, у них разное назначение, но он может отслеживать подключения и перебор паролей.
5) выставить задержку при авторизации в 1 сек (если не ошибаюсь это pam_passwd, его использует саша для авторизации по /etc/passwd).

"кто-то лезет по ssh"
Отправлено Дениска , 16-Мрт-06 08:57 
сомнительно, честно говоря, чтобы гигами трафик рос при переборе паролей по ssh.
Повесь на тазик считалку трафика - (хоть ipfw логируй ВСЕ каким нить правилом). Утром посмотришь, откуда ноги у твоего трафика растут.
"кто-то лезет по ssh"
Отправлено mobilepost , 16-Мрт-06 18:26 
>5) выставить задержку при авторизации в 1 сек (если не ошибаюсь это
>pam_passwd, его использует саша для авторизации по /etc/passwd).

Извините за тупость....
Можно поподробней еще раз?
Как выставить задержку при авторизации?

"кто-то лезет по ssh"
Отправлено John , 16-Мрт-06 09:12 
>Всем привет!
>След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей
>на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я
>понимаю, можно только физически отключить комп на ночь - ведь хоть
>данному хакеру не удается сломать пароль рута, но пакеты-то он шлет,
>поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по
>какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли
>такой бешеный рост трафика при переборе паролей по ssh при приличном
>количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!


Вставлю свои 5 копеек:
http://www.debian-administration.org/articles/268
также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.

"кто-то лезет по ssh"
Отправлено Jan , 16-Мрт-06 10:33 
>Вставлю свои 5 копеек:
>http://www.debian-administration.org/articles/268
>также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.

Всем спасибо! Еще один вопрос: что значит след. запись в /var/log/secure

Mar 15 10:29:57 firma_server xinetd[3078]: START: auth pid = 8016 from 111.222.333.444

Ипишник левый какой-то... Что именно xinetd делает с этим ИП?


"кто-то лезет по ssh"
Отправлено John , 16-Мрт-06 12:05 
>>Вставлю свои 5 копеек:
>>http://www.debian-administration.org/articles/268
>>также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.
>
>Всем спасибо! Еще один вопрос: что значит след. запись в /var/log/secure
>
>Mar 15 10:29:57 firma_server xinetd[3078]: START: auth pid = 8016 from 111.222.333.444
>
>
>Ипишник левый какой-то... Что именно xinetd делает с этим ИП?


Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов. Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса через xinetd. Файлы, содержащие disable = yes - сервис не запускается. man xinetd.conf

"кто-то лезет по ssh"
Отправлено Jan , 16-Мрт-06 12:47 
>Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов.
>Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса
>через xinetd. Файлы, содержащие disable = yes - сервис не запускается.
>man xinetd.conf

Угу нашел такой спасибо! И еще, что значит^
device eth0 entered promiscuous mode
??

Что это за режим такой?


"кто-то лезет по ssh"
Отправлено satelit , 16-Мрт-06 12:51 
>>Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов.
>>Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса
>>через xinetd. Файлы, содержащие disable = yes - сервис не запускается.
>>man xinetd.conf
>
>Угу нашел такой спасибо! И еще, что значит^
>device eth0 entered promiscuous mode
>??
>
>Что это за режим такой?


Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на наличие всяких интересностей.

"кто-то лезет по ssh"
Отправлено Jan , 16-Мрт-06 13:11 
>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на
>наличие всяких интересностей.

Да ты лучше просто скажи, что такое этот promiscous mode !


"кто-то лезет по ssh"
Отправлено John , 16-Мрт-06 13:13 
>>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на
>>наличие всяких интересностей.
>
>Да ты лучше просто скажи, что такое этот promiscous mode !


Прием на интерфейсе всех приходящих пакетов, независимо от адреса получателя.

"кто-то лезет по ssh"
Отправлено Jan , 16-Мрт-06 17:54 
Господа, еще вопрос: если отказаться платить за превышенный трафик (потому как была де-факто атака). Если будет суд, кто его выиграет?
"кто-то лезет по ssh"
Отправлено _KAV_ , 16-Мрт-06 18:01 
>Господа, еще вопрос: если отказаться платить за превышенный трафик (потому как была
>де-факто атака). Если будет суд, кто его выиграет?
Провайдер. Максимум - пытаться повесить счет на того, кто поломал, но суметь найти и доказать в суде....
"кто-то лезет по ssh"
Отправлено Император , 16-Мрт-06 18:21 
>>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на
>>наличие всяких интересностей.
>
>Да ты лучше просто скажи, что такое этот promiscous mode !


Интерфейс прослушивается.
Вот отсюда и траффик хулиганы Ленку Беркову походу качают! :)
Tcpdump не запускал? хотя если не занешь что такое promiscous mode значит не пущал.