Oct 16 20:10:10 legacy sshd[59955]: Did not receive identification string from 211.156.128.23
Oct 16 20:19:43 legacy sshd[59961]: Illegal user patrick from 211.156.128.23
Oct 16 20:19:53 legacy sshd[59966]: Illegal user patrick from 211.156.128.23
Oct 16 20:20:22 legacy sshd[59981]: Illegal user rolo from 211.156.128.23
Oct 16 20:20:28 legacy sshd[59983]: Illegal user iceuser from 211.156.128.23
Oct 16 20:20:34 legacy sshd[59985]: Illegal user horde from 211.156.128.23
Oct 16 20:20:38 legacy sshd[59987]: Illegal user cyrus from 211.156.128.23
Oct 16 20:20:48 legacy sshd[59991]: Illegal user wwwrun from 211.156.128.23
Oct 16 20:20:58 legacy sshd[59993]: Illegal user matt from 211.156.128.23
Oct 17 01:29:25 legacy sshd[60366]: Illegal user test from 218.237.4.57
Oct 17 01:29:28 legacy sshd[60368]: Illegal user guest from 218.237.4.57
Oct 17 01:29:32 legacy sshd[60370]: Illegal user admin from 218.237.4.57
Oct 17 01:29:35 legacy sshd[60374]: Illegal user admin from 218.237.4.57
Oct 17 01:29:38 legacy sshd[60376]: Illegal user user from 218.237.4.57
Oct 17 01:29:51 legacy sshd[60387]: Illegal user test from 218.237.4.57
Oct 17 23:29:11 legacy sshd[64098]: Did not receive identification string from 147.46.76.225
Oct 17 23:37:18 legacy sshd[64139]: Illegal user patrick from 147.46.76.225
Oct 17 23:37:22 legacy sshd[64141]: Illegal user patrick from 147.46.76.225
Oct 17 23:39:35 legacy sshd[64151]: fatal: Timeout before authentication for 147.46.76.225
Oct 18 00:09:42 legacy sshd[64320]: Illegal user test from 211.174.181.158
Oct 18 00:09:45 legacy sshd[64322]: Illegal user guest from 211.174.181.158
Oct 18 00:10:18 legacy sshd[64330]: Illegal user test from 211.34.197.3
Oct 18 00:10:22 legacy sshd[64332]: Illegal user guest from 211.34.197.3
Oct 18 00:10:25 legacy sshd[64334]: Illegal user admin from 211.34.197.3
Oct 18 00:10:29 legacy sshd[64336]: Illegal user admin from 211.34.197.3
Oct 18 00:10:32 legacy sshd[64338]: Illegal user user from 211.34.197.3
Oct 18 00:10:44 legacy sshd[64347]: Illegal user test from 211.34.197.3
Oct 18 22:47:31 legacy sshd[72101]: Did not receive identification string from 83.64.18.219
Oct 18 23:02:01 legacy sshd[72124]: Illegal user patrick from 83.64.18.219
Oct 18 23:02:02 legacy sshd[72126]: Illegal user patrick from 83.64.18.219
Oct 18 23:02:15 legacy sshd[72138]: Illegal user rolo from 83.64.18.219
Oct 18 23:02:17 legacy sshd[72140]: Illegal user iceuser from 83.64.18.219
Oct 18 23:02:18 legacy sshd[72142]: Illegal user horde from 83.64.18.219
Oct 18 23:02:20 legacy sshd[72144]: Illegal user cyrus from 83.64.18.219
Oct 18 23:02:22 legacy sshd[72148]: Illegal user wwwrun from 83.64.18.219
Oct 18 23:02:24 legacy sshd[72150]: Illegal user matt from 83.64.18.219
Oct 18 23:02:25 legacy sshd[72152]: Illegal user test from 83.64.18.219
Oct 18 23:02:31 legacy sshd[72154]: Illegal user test from 83.64.18.219
Oct 18 23:02:33 legacy sshd[72156]: Illegal user test from 83.64.18.219
Oct 18 23:02:34 legacy sshd[72158]: Illegal user test from 83.64.18.219
Oct 18 23:02:35 legacy sshd[72160]: Illegal user www-data from 83.64.18.219
Oct 18 23:02:37 legacy sshd[72162]: Illegal user mysql from 83.64.18.219
Oct 18 23:02:40 legacy sshd[72166]: Illegal user adm from 83.64.18.219
Oct 18 23:02:41 legacy sshd[72168]: Illegal user apache from 83.64.18.219
Oct 18 23:02:43 legacy sshd[72170]: Illegal user irc from 83.64.18.219
Oct 18 23:02:44 legacy sshd[72172]: Illegal user irc from 83.64.18.219
Oct 18 23:02:46 legacy sshd[72174]: Illegal user adm from 83.64.18.219
Oct 18 23:02:51 legacy sshd[72182]: Illegal user jane from 83.64.18.219
Oct 18 23:02:53 legacy sshd[72184]: Illegal user pamela from 83.64.18.219
Oct 18 23:03:00 legacy sshd[72196]: Illegal user cosmin from 83.64.18.219
Oct 18 23:03:56 legacy sshd[72270]: Illegal user cip52 from 83.64.18.219
Oct 18 23:03:57 legacy sshd[72272]: Illegal user cip51 from 83.64.18.219
Oct 18 23:04:05 legacy sshd[72276]: Illegal user noc from 83.64.18.219
Oct 18 23:04:12 legacy sshd[72287]: Illegal user webmaster from 83.64.18.219
Oct 18 23:04:18 legacy sshd[72297]: Illegal user data from 83.64.18.219
Oct 18 23:04:20 legacy sshd[72299]: Illegal user user from 83.64.18.219
Oct 18 23:04:26 legacy sshd[72301]: Illegal user user from 83.64.18.219
Oct 18 23:04:27 legacy sshd[72303]: Illegal user user from 83.64.18.219
Oct 18 23:04:29 legacy sshd[72305]: Illegal user web from 83.64.18.219
Oct 18 23:04:30 legacy sshd[72307]: Illegal user web from 83.64.18.219
Oct 18 23:04:32 legacy sshd[72309]: Illegal user oracle from 83.64.18.219
Oct 18 23:04:33 legacy sshd[72311]: Illegal user sybase from 83.64.18.219
Oct 18 23:04:34 legacy sshd[72313]: Illegal user master from 83.64.18.219
Oct 18 23:04:36 legacy sshd[72315]: Illegal user account from 83.64.18.219
Oct 18 23:04:38 legacy sshd[72317]: Illegal user backup from 83.64.18.219
Oct 18 23:04:39 legacy sshd[72319]: Illegal user server from 83.64.18.219
Oct 18 23:04:41 legacy sshd[72321]: Illegal user adam from 83.64.18.219
Oct 18 23:04:42 legacy sshd[72323]: Illegal user alan from 83.64.18.219
Oct 18 23:04:44 legacy sshd[72325]: Illegal user frank from 83.64.18.219
Oct 18 23:04:46 legacy sshd[72327]: Illegal user george from 83.64.18.219
Oct 18 23:04:47 legacy sshd[72329]: Illegal user henry from 83.64.18.219
Oct 18 23:04:49 legacy sshd[72331]: Illegal user john from 83.64.18.219
Oct 18 23:04:58 legacy sshd[72343]: Illegal user test from 83.64.18.219
Oct 18 23:47:19 legacy sshd[72387]: Did not receive identification string from 67.19.240.114
Oct 19 00:04:37 legacy sshd[72447]: Illegal user patrick from 67.19.240.114
Oct 19 00:04:38 legacy sshd[72449]: Illegal user patrick from 67.19.240.114Это нормальное явление????
Последнее время - да. Это то-ли троян какой-то появился, то-ли червь недоучка, но последнее время довольно частое явление.
Однажды кто-то проломится. Не подобрав пароль, так через какую-нибудь дырочку. Закрывай порт, органичивай адреса, с которых можно входить, или если уж так сильно неймется, посади ssh на другой какой-нибудь порт.
>Однажды кто-то проломится. Не подобрав пароль, так через какую-нибудь дырочку. Закрывай порт,
>органичивай адреса, с которых можно входить, или если уж так сильно
>неймется, посади ssh на другой какой-нибудь порт.
Дельный совет! Особенно если ты не знаешь, где окажешся завтра... Работа такая...
>>Однажды кто-то проломится. Не подобрав пароль, так через какую-нибудь дырочку. Закрывай порт,
>>органичивай адреса, с которых можно входить, или если уж так сильно
>>неймется, посади ssh на другой какой-нибудь порт.
>
>
>Дельный совет! Особенно если ты не знаешь, где окажешся завтра... Работа такая...
>ВНИМАТЕЛЬНО читаем фразу оратора, ДУМАЕМ, потом что-то свое предлагаем. Чем не нравится пересаживание на другой порт?
>Чем не нравится пересаживание на другой порт?Тем что _другой_ порт может быть закрыт адимином той местности, где я сейчас нахожусь. А он, в свою очередь, может быть не насроен на то, что бы коверкать свои правила под меня.
В свое время очень большое количество вермени мне потребовалось для того, что бы найти интернет-кафе в Питере с возожностью обращения по 22-му порту.
брутфорсят ssh
>брутфорсят sshСтранно как-то брутфорсят...одни и теже глупые имена "test", "oracle". Почему "root" не пробуют? Я вот с перепугу сменил ключ, сделал его длиной 4096, passphase абракадабра 15 символов, SSH1 у меня давно уже отключен...
А пока закрыл SSH нахрен, думаю ваще в глушняк закрыться, кроме 25 порта, в принципе, ничего больше и не надо.
а у меня!
Oct 21 11:59:57 boa named[78954]: Oct 21 11:59:57.579 client 192.168.21.7#1539: error sending response: not enough free resources
Oct 21 11:59:57 boa named[78954]: Oct 21 11:59:57.637 client 192.168.21.7#1522: error sending response: not enough free resources
Oct 21 11:59:57 boa named[78954]: Oct 21 11:59:57.651 client 192.168.21.7#1541: error sending response: not enough free resources
Oct 21 11:59:57 boa named[78954]: Oct 21 11:59:57.657 client 192.168.21.7#1542: error sending response: not enough free resources
Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.066 client 192.168.21.7#1529: error sending response: not enough free resources
Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.073 client 192.168.21.7#1557: error sending response: not enough free resources
Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.079 client 192.168.21.7#1558: error sending response: not enough free resources
Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.094 client 192.168.21.7#1559: error sending response: not enough free resources
Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.108 client 192.168.21.7#1561: error sending response: not enough free resources
Oct 21 11:59:58 boa named[78954]: Oct 21 11:59:58.122 client 192.168.21.7#1563: error sending response: not enough free resources
>Oct 19 00:04:38 legacy sshd[72449]: Illegal user patrick from 67.19.240.114
>
>Это нормальное явление????1. Запрещай ssh снаружи
2. Если таки снаружи нужен ssh, то:
- увеличивай длину паролей, да и вообще выполни все рекомендации лучших собаководов по паролеведению.
- поменяй порт (уже было сказано)
- поищи статейку по настройке sshd.conf, в частности запрети ssh v.1
- парси лог на предмет адреса любопытного и автоматом заноси в пул запретных адресов на фаерволе.Перечень неполный, все зависит от твоей фантазии и опыта почерпнутого из статей.
>>Oct 19 00:04:38 legacy sshd[72449]: Illegal user patrick from 67.19.240.114
>>
>>Это нормальное явление????
>
>1. Запрещай ssh снаружи
>2. Если таки снаружи нужен ssh, то:
>- увеличивай длину паролей, да и вообще выполни все рекомендации лучших собаководов
>по паролеведению.
>- поменяй порт (уже было сказано)
>- поищи статейку по настройке sshd.conf, в частности запрети ssh v.1
>- парси лог на предмет адреса любопытного и автоматом заноси в пул
>запретных адресов на фаерволе.
>
>Перечень неполный, все зависит от твоей фантазии и опыта почерпнутого из статей.
>Тут были неплохие статейки про port knock , это одно из возможных действий по улучшению безопасности SSH.
Елки палки,ТОЧНО ТАКАЯ ЖЕ БЕДА, ТЕ ЖЕ САМЫЕ ПОПЫТКИ,
только другие ip
блин
>Елки палки,
>
>ТОЧНО ТАКАЯ ЖЕ БЕДА, ТЕ ЖЕ САМЫЕ ПОПЫТКИ,
>только другие ip
>
>
>блинну дык. война "хакеры vs админы" не прекращается.
>ну дык. война "хакеры vs админы" не прекращается.;)
А по сути - это флейм.
>>ну дык. война "хакеры vs админы" не прекращается.
>
>;)
>
>А по сути - это флейм.flame - пламя?
>flame - пламя?флейм - пустой треп :)
>Елки палки,
>
>ТОЧНО ТАКАЯ ЖЕ БЕДА, ТЕ ЖЕ САМЫЕ ПОПЫТКИ,
>только другие ip
>
>
>блин
ну а что в этом такого? все юнные хакеры и еже с ними пользуют одни и теже программы в которых одни и теже политики проверки на дыры... чего удивительного?!привыкай. скоро компы будут в каждой квартире стоять у каждого подростка, всех по айпи незабанишь. Выход один - патчить, патчить и еще раз батчить и все время БДИТЬ!!!.
Лично я блокировал через ipfw все обращения с подобных адресов. Кроме того, я через traceroute и whois выяснял, кто провайдер и владелец этих адресов, а затем слал по E-mail жалобы.PS: интересно было бы подсунуть на подобные обращения программу, которая бы эмулировала вход в систему (т.е. выдала бы приглашение какое делает shell) и посмотреть, чего он хочет. А можно просто накидать ему в TCP-соединение тонну мусора из /dev/random...
Ну это уже honey pot'ом попахивает:-)
Попробуй что-то типа этого....http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
>
>Попробуй что-то типа этого....
>
>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
О! Мои логи уже в качестве примера выложили. :)
>>
>>Попробуй что-то типа этого....
>>
>>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
>
>
>О! Мои логи уже в качестве примера выложили. :)
Оперативно реагирую. :)
>>>
>>>Попробуй что-то типа этого....
>>>
>>>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
>>
>>
>>О! Мои логи уже в качестве примера выложили. :)
>
>
>Оперативно реагирую. :)Спасибо!
Но вот я в ступоре, не могу приспособить для себя (я на FreeBSD) этот SSH_BLOCK скрипт.
Создал файл /etc/rc.logparser#!/bin/sh
cat /var/log/auth.log | grep Illegal | cut -d " " -f 10 > /etc/fw.blacklistпредположим, я его запускаю 1 раз в 5 минут. Раз в сутки ротирую auth.log
как мне приспособить /etc/fw.blacklist для скрипта rc.firewall, в котором мои правила?
>>>>
>>>>Попробуй что-то типа этого....
>>>>
>>>>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
>>>
>>>
>>>О! Мои логи уже в качестве примера выложили. :)
>>
>>
>>Оперативно реагирую. :)
>
>Спасибо!
>
>Но вот я в ступоре, не могу приспособить для себя (я на
>FreeBSD) этот SSH_BLOCK скрипт.
>Создал файл /etc/rc.logparser
>
>#!/bin/sh
>cat /var/log/auth.log | grep Illegal | cut -d " " -f 10 > /etc/fw.blacklist
>
>предположим, я его запускаю 1 раз в 5 минут. Раз в сутки
>ротирую auth.log
>как мне приспособить /etc/fw.blacklist для скрипта rc.firewall, в котором мои правила?Я же не знаю структуру твоих скриптов.....
Но ты можешь поекспериментировать в этом направлении.....
===============================================================
#!/bin/sh
#
LOG="/var/lig/auth.log" # Log-file Server'a
ipfw="/sbin/ipfw"
ext_if="xl0"
#
for ARG in "Illegal" "Did"
do
while [ ! -z "`cat $LOG | grep $ARG | |cut -d " " -f 10`" ]
do
IP="`cat $LOG | grep $ARG | cut -d " " -f 10`"echo "${ipfw} add deny all from $IP to any in recv $ext_if" >> rc.firewall
sed -e "s/$ARG/XXXXXXXXX/g" $LOG > ip_tmp && cp ip_tmp $LOG ;
touch flag;
done
done
#
if [ -f flag ]; then
firewall restart
rm -f flag;
fi=================================================================
>>>>>
>>>>>Попробуй что-то типа этого....
>>>>>
>>>>>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
>>>>
>>>>
>>>>О! Мои логи уже в качестве примера выложили. :)
>>>
>>>
>>>Оперативно реагирую. :)
>>
>>Спасибо!
>>
>>Но вот я в ступоре, не могу приспособить для себя (я на
>>FreeBSD) этот SSH_BLOCK скрипт.
>>Создал файл /etc/rc.logparser
>>
>>#!/bin/sh
>>cat /var/log/auth.log | grep Illegal | cut -d " " -f 10 > /etc/fw.blacklist
>>
>>предположим, я его запускаю 1 раз в 5 минут. Раз в сутки
>>ротирую auth.log
>>как мне приспособить /etc/fw.blacklist для скрипта rc.firewall, в котором мои правила?
===================== ssh_block.sh =========================================
#!/bin/sh
#
LOG="/var/log/auth.log" # Log-file Server'a
EXT_IF="xl0"
ipfw="/sbin/ipfw"
#
for ARG in "Illegal" "Did"
do
while [ ! -z "`cat $LOG | grep $ARG | cut -d " " -f 10`" ]
do
IP="`cat $LOG | grep $ARG | cut -d " " -f 10`"
echo "$IP" >> blacklist
while [ ! -z "`head -n1 blacklist`" ]
do
IP_BLACK="`head -n1 blacklist`"
echo "$ipfw add deny all from" $IP_BLACK echo "to any in recv" $ext_if >> black_firewall_tmp
###################### правила фаервола /etc/rc.firewall ########################
# Здесь нужно записать свои правила для фаервола ( Правила даны как пример!!!!)#########---> begin
echo "#!/bin/sh" > black_firewall # !!! > 1 раз
echo "Start firewall---" >> black_firewall
echo "ipfw="/sbin/ipfw"" >> black_firewall
echo "int_if="em0"" >> black_firewall
echo "ext_if="xl0"" >> black_firewall
echo "$ipfw add allow all from any to any via lo0" >> black_firewall
echo "$ipfw add deny all from any to 127.0.0.0/8 " >> black_firewall
echo "$ipfw add deny all from 127.0.0.0/8 to any in recv $ext_if" >> black_firewall
echo "$ipfw add deny all from 10.0.0.0/8 to any in recv]$ext_if " >> black_firewall
echo "$ipfw add deny all from 172.16.0.0/16 to any in recv $ext_if" >> black_firewall
echo "$ipfw add deny all from 192.168.0.0/24 to any in recv $ext_if" >> black_firewall
cat black_firewall_tmp >> black_firewall
echo "$ipfw add deny all from any to any" >> black_firewall
echo "echo "DONE"" >> black_firewall
########------> endchmod 755 black_firewall
cp black_firewall /etc/rc.firewall
sed -e "1d" blacklist > blacklist_tmp && cp blacklist_tmp blacklist
done
sed -e "s/$ARG/XXXXXXXXX/g" $LOG > black_ip_tmp && cp black_ip_tmp $LOG ;
touch flag;
done
done
#
if [ -f flag ]; then
/bin/sh /etc/rc.firewall
rm -f flag;
rm -f black*;
#
fi
=================================================================================
cp ssh_block.sh /usr/local/sbin
chmod 755 /usr/local/sbin/ssh_block.shЕсли установишь на 5 минут, то ты даёшшь 5 минут хакеру на пробу ssh!!!
/etc/crontab:
-*/1 * * * * root /usr/local/sbin/ssh_block.sh >/dev/null 2>&1
>http://gennadi.dyn.ee/modules.php?name=Forums&file=viewtopic...
При копировании скрипта закрались три неточности:
1.
EXT_IF="xl0" заменить на: ext_if="xl0"
2.
for ARG in "Illegal" "Did" заменить на: for ARG in "Illegal"
3.
echo "$ipfw add deny all from" $IP_BLACK echo "to any in recv" $ext_if >> black_firewall_tmp
заменить на:
echo "$ipfw add deny all from" $IP_BLACK "to any in recv" $ext_if >> black_firewall_tmp
>cp ssh_block.sh /usr/local/sbin
>chmod 755 /usr/local/sbin/ssh_block.sh
>
>Если установишь на 5 минут, то ты даёшшь 5 минут хакеру на
>пробу ssh!!!
>
>/etc/crontab:
>-*/1 * * * * root /usr/local/sbin/ssh_block.sh >/dev/null 2>&1
Судя по логу проба ssh происходит в среднем в течении минуты. Потом ip не повторяються. Так что это не вариант.
Короче, я ограничил подключения к порту SSH одним IP. И успокоился. Пока.
И сразу подумал, что хорошо бы ещё и по MAC-адресу отгородиться
Как это в fw=правилах написать?