The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Угрожающий рост количества атак на SSH серверы."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от opennews on 15-Май-08, 11:36 
В понедельник вышел отчет SANS Internet Storm Center (http://isc.sans.org/), предупреждающий о значительном росте количества brute-force атак на SSH серверы. В основе атаки лежит метод подбора паролей по определенному алгоритму или по словарю. Отчет основывается на информации, предоставленной непосредственно пользователями или через почтовые конференции.

Данные собранные DenyHosts.org подтверждают эту информацию. На графике (http://stats.denyhosts.net/stats.html) видно резкое увеличение попыток взлома SSH серверов.

Рекомендации по защите от несанкционированного доступа предлагаются стандартные: разрешение доступа к серверу только с хостов с определенным именем, блокирование входа в систему root, использование стойких паролей и имен пользователей, использование аутентификации по публичному ключу или многоуровневой аутентификации, ограничение публичного доступа к второстепенным сервисам, например, с помощью  iptables.

URL: http://lwn.net/Articles/282218/
Новость: http://www.opennet.me/opennews/art.shtml?num=15874

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Celarent on 15-Май-08, 11:36 
Хххх, из мухи слона сделали. SSHGuard, или ограничение по открытию новых соединений в еденицу времени с одного ip.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 11:37 
Кто сказал, что подключения ведутся с одного хоста?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Bzdun on 15-Май-08, 19:21 
>Кто сказал, что подключения ведутся с одного хоста?

log'и.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от vitek (??) on 16-Май-08, 01:20 
есть такой анекдот:
> вчера перечитывал log'и.  долго думал.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

77. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от John the User on 17-Май-08, 01:22 
>>Кто сказал, что подключения ведутся с одного хоста?
>log'и.

Кстати да, долбятся как дятлы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

73. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Gr2k (ok) on 16-Май-08, 18:13 
Видел решение с отсылкой одного особенного пакета, после чего в правилах автоматом прописывалось  разрешение на коннект с того ип откуда этот спец пакет пришел. Это один вариант, довольно интересный на мой взгляд.


Насчет атак, это они логи моего шлюза не видели, 90% всех левых тыканий по портам это брут на ссш. И так было и год назад, и два и три.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

83. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Дмитрий Ю. Карпов on 19-Май-08, 16:50 
> Видел решение с отсылкой одного особенного пакета, после чего в правилах автоматом прописывалось  разрешение на коннект с того ип откуда этот спец пакет пришел.

Не проще ли открыть VPN-соединение, и потом по нему коннектиться по SSh?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 11:41 
если перевесить ssh на другой порт, то атаки прекратятся :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Ононим on 15-Май-08, 11:43 
>если перевесить ssh на другой порт, то атаки прекратятся :)

если атака целенаправленная - не прекратятся. просканят порты и продолжут муму колбасить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

66. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от ЮзверЪ on 16-Май-08, 07:50 
Да, если цель - именно эта машина, то да, будут долбить во все порты. Но чаще просто находят открытый 22-порт, и начинают ломать. В таком случае перенос номера порта помогает почти на 100 прОцентов.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

68. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Pahanivo email(??) on 16-Май-08, 10:02 
>Да, если цель - именно эта машина, то да, будут долбить во
>все порты. Но чаще просто находят открытый 22-порт, и начинают ломать.
>В таком случае перенос номера порта помогает почти на 100 прОцентов.
>

Угу. Роботы же долбят.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Ононим on 15-Май-08, 11:41 
а что мешает ограничивать доступ к ssh по IP или хосту допустим? религия? :D
принцип "что не разрешено - то запрещено" никто не отменял.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от newser (ok) on 15-Май-08, 11:46 
>а что мешает ограничивать доступ к ssh по IP или хосту допустим?
>религия? :D
>принцип "что не разрешено - то запрещено" никто не отменял.

Это не всегда удобно. Доступ может потребоваться из разных (случайных) мест.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Папа Карло on 15-Май-08, 12:00 
fail2ban поможет буратинам :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от telsek email(ok) on 15-Май-08, 17:08 
+1
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от don_oles email(??) on 15-Май-08, 11:53 
Не держите ссх на 22-м порту и будет вам счастье.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от spamtrap (ok) on 15-Май-08, 12:55 
+1
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от aim email(??) on 15-Май-08, 15:23 
>Не держите ссх на 22-м порту и будет вам счастье.

если публичный сервер - это не сильно помогает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 17:30 
не сильно-то и удобно, если к серверу, например, нужен доступ из разных мест по svn поверх ssh - создавать каждый раз custom transport замахаишьси.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

80. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 18-Май-08, 14:34 
>не сильно-то и удобно, если к серверу, например, нужен доступ из разных
>мест по svn поверх ssh - создавать каждый раз custom transport
>замахаишьси.

http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 11:55 
Ой, да ладно... Атаки были, есть, и будут есть. Когда у нас появляется новый
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 11:56 
наверняка связано с недавними проблемами с openssl в debian
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 11:58 
>наверняка связано с недавними проблемами с openssl в debian

нет, не связано. Проблемы с openssl ключами никак не влияют на стойкость паролей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Вовчик on 16-Май-08, 13:09 
>>наверняка связано с недавними проблемами с openssl в debian
>
>нет, не связано. Проблемы с openssl ключами никак не влияют на стойкость
>паролей.

Рост числа атак действительно может быть связан с последними ошибками в Дебиановском openssl. Оказалось, что возможное число ключей, которые генерились последние два года на деб-машинах, сильно ограничено (~2^16). Можно довольно эффективно удалённо брутфорснуть логин с аутентификацией по незапароленному ключу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 11:57 
сервер, его атакуют в тот же день или от силы на следующий.
Но атакуют с одного-двух айпишнеков. Стоит его загнать в hosts.deny, как всё становится спокойно. Недельку побанить такие ботнеты, и можно расслабиться - атак больше нет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Оммм on 15-Май-08, 11:59 
>если атака целенаправленная - не прекратятся. просканят порты и продолжут муму колбасить.

если атака целенаправленная, то никто не будит брутить %)
брутят скрипты/сканеры и прочая шваль автоматизированная

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Ононим on 15-Май-08, 12:03 
тупых школьнегов и недохацкеров еще никто не отменял. начитаются доисторической литературы, а потом рвуться все поломать. хотя таких в последнее время становится все меньше и меньше. взрослеют наверно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Celarent on 15-Май-08, 12:02 
А какая разница с каких ip ведутся атаки? Делаем с помощью iptables или pf ограничение по открытию новых соединений с одного хоста (например не больше трёх в минуту), и тогда brute-force просто теряет смысл - время перебора становится непомерно большим.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Ононим on 15-Май-08, 12:04 
> А какая разница с каких ip ведутся атаки? Делаем с помощью
>iptables или pf ограничение по открытию новых соединений с одного хоста
>(например не больше трёх в минуту), и тогда brute-force просто теряет
>смысл - время перебора становится непомерно большим.

ботнеты еще никто не отменял.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Fantomas email(??) on 15-Май-08, 12:09 
Хахаха, нашли проблему.
Ну, все время кто-то что-то там подбирает. Ну и что?
Если пароль взломоустойчивый то пускай подбирают.
Я не обращал и не обращаю никакого на это внимания.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 12:18 
Проблема находится тогда, когда ты пытаешься зайти на сервер, а тебя не поскает - потому что два бота DoSят твой sshd, перебирая пароли с максимальной возможной скоростью из расчёта, что бот один. Когда бот один - это не заметно. Когда их двое - третий уже не может зайти. Поэтому надо банить или ограничивать соединения по айпи.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 12:16 
denyhosts и никаких проблем.
Новость высосана из пальца.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от bsdaemon email(??) on 15-Май-08, 13:40 
>denyhosts и никаких проблем.
>Новость высосана из пальца.

Это не новость а предостережение!
Пример с теми же червями, все знают что они есть, но иногда полезно знать что-то такой-то червь на таком-то порту набирает обороты...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от georg (??) on 15-Май-08, 12:20 
Чем то напомнило анекдот:

В чате:
HaCKer - Дайте мне IP какого-нибуль лоха, ща я его завалю!
Некто - 127.0.0.1
системное сообщение: HaCKer вышел из чата

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Полезная информация по ссылке"  
Сообщение от Fr. Br. George on 15-Май-08, 12:27 
По крайней мере, экспериментально доказано, что уже и BF-боты используют 1337. Порщайте, читаемые p@55w0rd-ы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 12:41 
bilo bi xorosho eslib sshguard bil v sshd "integrirovan"
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 12:47 
дам а просче всего запратит ползоватся user/pass толко с ключик и все ... атаки можно делата но они без смисл.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от kos (??) on 15-Май-08, 13:28 
Да, за последнюю неделю увеличелось офигенно. первая колонка дата, вторая кол-во забаненных ИПшников. Причем после 5 неудачных логинов, ИПшка банится на час. По моим наблюдениям, в атаке участвуют до 1000 машин с разными ИП.

FW 2
05      6
06      31
07      250
08      332
09      291
10      86
11      15
12      673
13      472
14      389

FW 2
05      2
06      1
07      11
08      13
09      9
10      6
11      3
12      1243
13      418

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 13:42 
Спасибо :-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 13:43 
Я делаю так: автоматически запускается скрипт, проверяющий лог на предмет большого числа попыток подключиться к ssh, и, для "провинившегося" IP добавляю правило в iptables. Одновременно генерирую скрипт удаления этого правила. Следующим днем выполняю скрипт, и, накопившиеся правила предыдущего дня, сбрасываются.    
  И потом, важно придумать "хороший" логин и сложный пароль. Мой логин еще не разу не угадали - до пароля даже не дошло...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Painbreinger on 15-Май-08, 15:22 
>Я делаю так: автоматически запускается скрипт, проверяющий лог на предмет большого числа
>попыток подключиться к ssh, и, для "провинившегося" IP добавляю правило в
>iptables. Одновременно генерирую скрипт удаления этого правила. Следующим днем выполняю скрипт,
>и, накопившиеся правила предыдущего дня, сбрасываются.
>  И потом, важно придумать "хороший" логин и сложный пароль. Мой
>логин еще не разу не угадали - до пароля даже не
>дошло...

использовать модуль recent на иптаблесе религия не позволяет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от pavlinux email(ok) on 15-Май-08, 15:34 
>  И потом, важно придумать "хороший" логин и сложный пароль. Мой
>логин еще не разу не угадали - до пароля даже не дошло...

KjubyЕo`НbРfpeНtУuflfkb-LjGfhjkzLf;tYtLjikj... - ЛогинЕщеНеРазуНеУгадали-ДоПароляДажеНеДошло...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от LOL (??) on 15-Май-08, 21:08 
Пошел менять пароль :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 13:58 
#!/bin/sh
# дата по которой фильтровать может быть в нужной форме: "Май 15" и "Май  1"
sToday=`date +%b" "%e`
cat /var/log/messages | grep sshd | grep "Invalid user" | grep "$sToday" | awk '{print $10}' | sort| uniq -c | sort -r -n | head -n 15 > /tmp/top_ssh
sDate=`date +%d.%m.%y`
sAutoDeleteLog=/var/log/fw_auto_ip${sDate}.log
sChangeDate=`date +%Y"-"%m"-"%d`
# отладка
cat /tmp/top_ssh >> /var/log/debug.log
while read row; do
  iCount=`echo "$row" | cut -f 1 -d " "`
  sIP=`echo "$row" | cut -f 2 -d " "`
# проверка от повторной вставки правила
  sExists=`/usr/sbin/iptables -t filter -L -n | grep "$sIP"`
  echo "IP=$sIP Count=$iCount Exist=$sExists" >> /var/log/debug.log
  if [ -z "$sExists" ]; then
    if [ $iCount -gt 50 ]; then
      /usr/sbin/iptables -t filter -I INPUT -s $sIP -j DROP
      /usr/sbin/iptables -t filter -I INPUT -s $sIP -m limit --limit 3/min -j LOG --log-prefix "AUTO_FILTER" --log-tcp-options --log-ip-option
      echo "/usr/sbin/iptables -t filter --delete INPUT -s $sIP -j DROP" >> $sAutoDeleteLog
      echo "/usr/sbin/iptables -t filter --delete INPUT -s $sIP -m limit --limit 3/min -j LOG --log-prefix "AUTO_FILTER" --log-tcp-options --log-ip-option" >> $sAutoDeleteLog
      touch -c --date=$sChangeDate  $sAutoDeleteLog  
      echo "IP=$sIP Count=$iCount `date` ADDED" >> /var/log/messages_auto_fw.log
    fi
  else
    echo " IP=$sIP Count=$iCount EXISTS! " >> /var/log/debug.log
    echo " IP=$sIP Count=$iCount EXISTS! " > /dev/null
  fi
done < /tmp/top_ssh

rm -f /tmp/top_ssh
# отладка очищена echo " " > /var/log/debug.log

if [ -f $sAutoDeleteLog ]; then
  chmod +x $sAutoDeleteLog
  chmod o-rwx $sAutoDeleteLog
fi

find /var/log/ -type f -regex ".*\/fw_auto_ip.*\.log$" -mtime +1 -exec '{}' \;
find /var/log/ -type f -regex ".*\/fw_auto_ip.*\.log$" -mtime +1 -exec mv -f '{}' /root/ \;

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от GateKeeper (??) on 15-Май-08, 14:19 
перманентный фильтр на 22 порту с:
table <sshallow> persist

pass from <sshallow> to $inet_addr port ssh keep state

Таблица <sshallow> заполняется путём выполнения шелл-скрипта из серверной части https-страницы, авторизующей пользователей по сертификатам. В конце шелл-скрипта стоит незатейливый примерно так: 'at "now + 5 minutes" pfctl -t sshallow -Td $HOSTIP', выглядящий уборщик мусора из таблицы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от John (??) on 15-Май-08, 14:22 
KNOCK1="123"
KNOCK2="456"
KNOCK3="789"
KNOCK4="555"
TIME_OPEN="30"

/sbin/iptables -N knock_rmv
/sbin/iptables -A knock_rmv -m recent --name phase1 --remove
/sbin/iptables -A knock_rmv -m recent --name phase2 --remove
/sbin/iptables -A knock_rmv -m recent --name phase3 --remove
/sbin/iptables -A knock_rmv -m recent --name phase4 --remove

/sbin/iptables -N knock_ph1
/sbin/iptables -A knock_ph1 -m recent --name phase1 --remove
/sbin/iptables -A knock_ph1 -m recent --name phase2 --set
/sbin/iptables -A knock_ph1 -j DROP

/sbin/iptables -N knock_ph2
/sbin/iptables -A knock_ph2 -m recent --name phase2 --remove
/sbin/iptables -A knock_ph2 -m recent --name phase3 --set
/sbin/iptables -A knock_ph2 -j DROP

/sbin/iptables -N knock_ph3
/sbin/iptables -A knock_ph3 -m recent --name phase3 --remove
/sbin/iptables -A knock_ph3 -m recent --name phase4 --set
/sbin/iptables -A knock_ph3 -j DROP

/sbin/iptables -N knock_end
/sbin/iptables -A knock_end -j knock_rmv
/sbin/iptables -A knock_end -j ACCEPT

/sbin/iptables -A INPUT -i $IF_EXT -p udp --dport $KNOCK1 -m recent --name phase1 --set -j DROP
/sbin/iptables -A INPUT -i $IF_EXT -p udp --dport $KNOCK2 -m recent --name phase1 --rcheck -j knock_ph1
/sbin/iptables -A INPUT -i $IF_EXT -p udp --dport $KNOCK3 -m recent --name phase2 --rcheck -j knock_ph2
/sbin/iptables -A INPUT -i $IF_EXT -p udp --dport $KNOCK4 -m recent --name phase3 --rcheck -j knock_ph3
/sbin/iptables -A INPUT -i $IF_EXT -p udp -m multiport --dports $KNOCK2,$KNOCK3,$KNOCK4 -j knock_rmv
/sbin/iptables -A INPUT -i $IF_EXT -p tcp --dport 22 -m recent --rcheck --seconds $TIME_OPEN --name phase4 -j knock_end

Это дает возможность открыть порт SSH для доступа на $TIME_OPEN секунд для IP, с которого пришли UDP пакеты(любые) на порты $KNOCK1, затем $KNOCK2, $KNOCK3 и $KNOCK4. При этом обращение на эти порты в другом порядке не откроет порт SSH для доступа.

Для открытия порта SSH на host необходимо выполнить команды с удаленного хоста
echo " " | nc -w 1 -u host $KNOCK1
echo " " | nc -w 1 -u host $KNOCK2
echo " " | nc -w 1 -u host $KNOCK3
echo " " | nc -w 1 -u host $KNOCK4
ssh user@host

И все. Предсказать порядок портов оооочень сложно - сканирование не спасает.
Для доступа с венды можно переделать на TCP вместо UDP и тыкаться в порты telnet'ом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от pavlinux email(ok) on 15-Май-08, 15:42 
>KNOCK1="123"
>KNOCK2="456"
>KNOCK3="789"
>KNOCK4="555"
>TIME_OPEN="30"

на порты $KNOCK1, затем $KNOCK2, $KNOCK3 и $KNOCK4.
> При этом обращение на эти порты в другом порядке не откроет порт SSH для доступа.

Ещё бы номера портов вынести за 1024, приписать по 0 или 00  
KNOCK1="12300"
KNOCK2="45600"
KNOCK3="7890"
KNOCK4="55500"
TIME_OPEN="30"

Не забыть поправить в Linux_е ipv4.port_range="1024 65535"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от PereresusNeVlezaetBuggy email(ok) on 15-Май-08, 16:53 
>>KNOCK1="123"
>>KNOCK2="456"
>>KNOCK3="789"
>>KNOCK4="555"
>>TIME_OPEN="30"
>
>на порты $KNOCK1, затем $KNOCK2, $KNOCK3 и $KNOCK4.
>> При этом обращение на эти порты в другом порядке не откроет порт SSH для доступа.
>
>Ещё бы номера портов вынести за 1024, приписать по 0 или 00

Если никто посторонний не сможет открывать порты, то да. Иначе пусть лучше будут только для рута...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 17:38 
>И все. Предсказать порядок портов оооочень сложно - сканирование не спасает.

для пущей безопасности я бы еще использовал одноразовые пароли через OPIE.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 14:23 
Спасибо за скрипт, интересен, но на мой взгляд проще использовать fail2ban. Дополнительно позовляет банить неправильные логины на другие сервисы и осуществлять более гибкий контроль за процессом.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от John (??) on 15-Май-08, 14:29 
>Спасибо за скрипт, интересен, но на мой взгляд проще использовать fail2ban. Дополнительно
>позовляет банить неправильные логины на другие сервисы и осуществлять более гибкий
>контроль за процессом.

Только разница в том, что мой пример не дает даже пытаться войти по SSH левому человеку.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 15:27 
стоит порт нокинг на основе iptables все пучком, смысла долбится или сканировать хост на сервере нет, не реальо не зная необходимые порты
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от fa email(??) on 15-Май-08, 15:33 
У меня одно время хобби было. Ставил старенькую тачку "лицом в инет" с простеньким паролем (user: sergio, pass: sergio. Разгадывали на ура, если кому интересно будет повторить) ну и глядел че там кулхацкеры делают. Один скрипт-ломальщик (а может и живой кто это был) перетащил мне на машину всего себя, включая список с уже угаданными логинами/паролями других тачек. Большинство оказалось экзотическими девайсами с встроенными линуксами и старыми заброшеными машинами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от maksimka (??) on 15-Май-08, 15:45 
iptables -N SSHSCAN
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j SSHSCAN
iptables -A SSHSCAN -m recent --set --name SSH
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j LOG  --log-level info --log-prefix "SSH SCAN blocked: "
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 16:25 
>У меня одно время хобби было. Ставил старенькую тачку "лицом в инет"

  тоже хочу приколоться - поставить на виртуальной машине голой жопой в и-нет =))
  посмотреть как кулхацкеры резвятся...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Volodymyr Lisivka email on 15-Май-08, 20:14 
>>У меня одно время хобби было. Ставил старенькую тачку "лицом в инет"
>
>  тоже хочу приколоться - поставить на виртуальной машине голой жопой
>в и-нет =))
>  посмотреть как кулхацкеры резвятся...

Ну так ставишь виртуалку, ставишь мониторы, делаеш юзеру root пароль 12345, и пускаешь жопой в инет. Только не забудь запретить исходящие конекты на реальном хосте, иначе твоя машина станет сканировать других. Потом делаешь дамп памяти и разбираешся на досуге чё там творится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

84. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Дмитрий Ю. Карпов on 19-Май-08, 16:51 
> тоже хочу приколоться - поставить на виртуальной машине голой жопой в и-нет =))
> посмотреть как кулхацкеры резвятся...

А если с тебя начнут рассылать спам?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 16:34 
вспомнить про mlimit в iptables да запретить вход по логину паролю(тока сертификатом).ну и заодно разрешить вход тока с определнных айпишников
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от Alex_k email on 15-Май-08, 17:09 
У меня сначал впн поднимаеться а там внурти уже что хочу ворочу помойму безопасне намного.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 17:25 
Использую pf и ограничение на количество соединений в единицу времени с одного ip + ограничение количества одновременных соединений с одного ip. Провинившиеся ip помещаю в таблицу и персонально для них устанавливаю "плохой канал", с потерей пакетов порядка 75%. Помогает хорошо...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

71. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Sergo1 email(ok) on 16-Май-08, 13:57 
>Использую pf и ограничение на количество соединений в единицу времени с одного
>ip + ограничение количества одновременных соединений с одного ip. Провинившиеся ip
>помещаю в таблицу и персонально для них устанавливаю "плохой канал", с
>потерей пакетов порядка 75%. Помогает хорошо...

А какими средствами длается "плохой канал" с заданнм дропаньем?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

76. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 17-Май-08, 00:12 
>А какими средствами длается "плохой канал" с заданнм дропаньем?

block on $ext_if proto tcp from <abusive_hosts> to $ext_addr port 22 probability 75%

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Bzdun on 15-Май-08, 19:20 
/etc/pf.conf:
TCP="proto tcp"
SSA="flags S/SA"
MSF="modulate state"
.....
table <sshlock> persist
.....
pass in $TCP to $ext_addr port ssh $SSA label SSH-Limit \
        $MSF (max-src-conn-rate 10/60, overload <sshlock> flush global)
block drop in log from <sshlock> to any label SSH-Lock
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от dz email(ok) on 15-Май-08, 20:13 
а кто отменил в ssh
AllowGroups sshusers-group

???


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 21:23 
А нельзя например 100 раз набрал неверный логин и пароль, то в бан IP адрес?
Как раз собиреться хороший список проксей....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 21:24 
>А нельзя например 100 раз набрал неверный логин и пароль, то в
>бан IP адрес?
>Как раз собиреться хороший список проксей....

(имеется введу подрят 100 раз с ошибкой)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 21:27 
>А нельзя например 100 раз набрал неверный логин и пароль, то в
>бан IP адрес?
>Как раз собиреться хороший список проксей....

(имеется введу подрят 100 раз с ошибкой)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 15-Май-08, 21:27 
В продолжении темы, интереснее было бы сделать так, что бы после 100 раз подрят неправильно набранных паролей залагиниться было бы вообше нельзя, но эмуляция работы ssh оставалась....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от vitek (??) on 16-Май-08, 01:27 
когдато, в древние времена (когда компы были деревянными, а кодировка была одна)
был такой трюк:
обратный дозвон.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от fa email(??) on 16-Май-08, 01:31 
Ох, и чего не понапридумывает народ, лишь бы не менять порт ssh. В хозяйстве более 50-и машин в разных сетях. При установке меняю порт ssh (ну и PermitRootLogin no на всякий случай). Некоторые 4 года уже стоят. Ни на одной ни разу не был замечен bruteforce. Да что там, хоть бы просто ткнулся кто.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от vitek (??) on 16-Май-08, 01:56 
так это.
плохо приглашаешь :-)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от Oles email on 16-Май-08, 01:59 
+1
Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить, с извратом, , ключи. А пароль оставить 12345 :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

74. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от Аноним (??) on 16-Май-08, 20:26 
>+1
>Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить,
>с извратом, , ключи. А пароль оставить 12345 :)

О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого скана ...
Перевесть порт это так - чтоб логи не пухли. Не защитит вас зарывание головы в песок - уж сколько раз о "security by obscurity" толковали ,)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

75. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от fa email(??) on 16-Май-08, 22:48 
>О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого
>скана ...
>Перевесть порт это так - чтоб логи не пухли. Не защитит вас
>зарывание головы в песок - уж сколько раз о "security by
>obscurity" толковали ,)

скан сам по себе ничем не опасен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

85. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от littster on 20-Май-08, 09:13 
>>+1
>>Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить,
>>с извратом, , ключи. А пароль оставить 12345 :)
>
>О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого
>скана ...
>Перевесть порт это так - чтоб логи не пухли. Не защитит вас
>зарывание головы в песок - уж сколько раз о "security by
>obscurity" толковали ,)

А PortSentry с блокировкой портскана или snort поставить религия не позволяет??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

72. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от Denis email(??) on 16-Май-08, 15:44 
а если у тебя CVS сервер и около 300 пользователей на нем? каждому пройти и порт поменять?
понимаю, что надо было делать изначально, но так исторически сложилось.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "Угрожающий рост количества атак на SSH серверы."  
Сообщение от maksimka (??) on 16-Май-08, 07:43 
веселее было бы использовать TARPIT для попавшихся, но его выкинули :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от blackpepper on 16-Май-08, 09:38 
/usr/ports/security/sshit
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

81. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от tiger (??) on 19-Май-08, 14:40 
>/usr/ports/security/sshit

оно отстой. выше gatekeeper показал верный метод, но я делал наоборот, 22 порт был открыт всем, разрешено было 3 попытки в мин с 1 ip коннектится, overload добавлялся в таблицу badusers которая и была закрыта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

69. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от im (??) on 16-Май-08, 12:10 
geoip на 22 порт, оставляем только свой каунтри-остальные отдыхают
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

78. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от Никого_нет_всех_якши_унесли on 17-Май-08, 01:59 
Запрет рутового логина, аунтификация только по ключу с парольной фразой.
брутер не пройдет )
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

79. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от John the User on 17-Май-08, 07:56 
>использование аутентификации по публичному ключу

Таким хреновым советчикам надо больно е*нуть в бубен за такие советы учитывая уязвимость в дебиановском OpenSSL и геморрой с этими самыми ключами, мать их.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

82. "OpenNews: Угрожающий рост количества атак на SSH серверы."  
Сообщение от tiger (??) on 19-Май-08, 14:44 
>>использование аутентификации по публичному ключу
>
>Таким хреновым советчикам надо больно е*нуть в бубен за такие советы учитывая
>уязвимость в дебиановском OpenSSL и геморрой с этими самыми ключами, мать
>их.

"уязвимость в дебиановском OpenSSL" это проблема исключительно тех кто пользуется дебианбейсд фигней, а также самим дебианом. Не нужно так резко отзываться о людях которые выбрали более адекватные дистрибутивы ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

86. "IA: openssh-blacklist"  
Сообщение от Michael Shigorin email(ok) on 28-Май-08, 17:29 
>"уязвимость в дебиановском OpenSSL" это проблема исключительно тех
>кто пользуется дебианбейсд фигней, а также самим дебианом.

Если бы...

>Не нужно так резко отзываться о людях
>которые выбрали более адекватные дистрибутивы ;-)

Теперь представьте себе, что на хосте с более адекватным дистрибутивом размещён публичный ключик, при генерации которого мощность множества секретных ключей была сведена к 98301.  Причём вероятность распределена заведомо неравномерно, особенно для пользователя root.  Бишь всё это неплохо перебирается в обозримое время.

Так что если кто вдруг ещё не воспользовался утилитой для поиска увечных ключей, принесённых пользователями лучшего дистрибутива всех времён и народов (tm) или там самопопулярного дистрибутива всех времён и народов (tm) -- предлагаю заглянуть сюда:
http://wiki.debian.org/SSLkeys#head-45e521140d6b8f2a0f96a115...

PS: в Owl и ALT Linux тем временем обкатывается оригинальный вариант openssh, который с несущественными накладными расходами отбрасывает такие ключи "на лету": http://openwall.com/lists/oss-security/2008/05/27/3

PPS: надеюсь, для разработчиков Debian это будет урок насчёт того, что здравый смысл поклонением инструментарию (полиси, whatever) не заменяется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

87. "sshd из inetd"  
Сообщение от Лена (??) on 01-Июн-08, 20:39 
А чего никто до сих пор не предложил вызывать sshd из inetd? У inetd есть возможность лимитировать количество соединений с одного IP с минуту, например одно или два соединения в минуту.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

88. "sshd из inetd"  
Сообщение от Pahanivo email(ok) on 03-Июн-08, 14:30 
>А чего никто до сих пор не предложил вызывать sshd из inetd?
>У inetd есть возможность лимитировать количество соединений с одного IP с
>минуту, например одно или два соединения в минуту.

Ны как вариант ты потеряещь сервер если inetd глюканет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру