The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Перебор паролей ssh линуксовыми ботами"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Блокирование спама и вирусов / Linux)
Изначальное сообщение [ Отслеживать ]

"Перебор паролей ssh линуксовыми ботами"  +/
Сообщение от WhiteWind email(ok) on 20-Мрт-08, 08:24 
На БЗДяшных серверах наблюдается такая картина (не только на БЗДяшных, на самом деле, просто у БЗДей очёт в удобном виде):

mail.example.com login failures:
Mar 19 05:32:35 mail sshd[41429]: warning: /etc/hosts.allow, line 19: can't verify hostname: getaddrinfo(unknown168.121.65.69.defenderhosting.com, AF_INET) failed
Mar 19 23:52:53 mail sshd[45248]: Invalid user test from 165.141.177.14
....
Mar 19 23:53:20 mail sshd[45262]: Invalid user test from 165.141.177.14

mail.example.com refused connections:
Mar 19 09:10:34 mail sshd[41997]: refused connect from 203.95.106.20 (203.95.106.20)
Mar 19 14:51:28 mail sshd[43121]: refused connect from 202.121.131.112 (202.121.131.112)
Mar 19 16:31:26 mail sshd[43513]: refused connect from 221.236.245.165 (221.236.245.165)
Mar 19 16:38:32 mail sshd[43543]: refused connect from 221.236.245.165 (221.236.245.165)
Mar 19 23:53:21 mail sshd[45278]: refused connect from 165.141.177.14 (165.141.177.14)

Кроме того, анализ Netflow показывает, что на несуществующие адреса приходят пакеты, причём в количестве около 3 Гб за полмесяца на сеть с маской 255.255.255.0.

nmap на парочку таких адресов показал, что атака ведётся с линуксовых машин.
Хотелось бы узнать, вдруг кто ловил этого бота за руку? Как он зомбирует машины? Использует ли он какие-нибудь баги в софте/ядре? Только ли линуксовые машины подвержены зомбированию?
С этой информацией можно будет определить необходимые и достаточные меры по защите и лечению от этой гадости, и можно будет уже слать письма админам заражённых машин с просьбой уничтожить эту тварь)
Если что, могу пошариться по логам и выложить список всех адресов, замеченных в переборе.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Перебор паролей ssh линуксовыми ботами"  +/
Сообщение от vfp7 email(ok) on 26-Мрт-08, 11:48 
Настрой firewall на доступ к sshd с определенных ip (можешь привязать MAC до кучи) и блокировку всех остальных, этого тебе хватит за глаза.

http://www.opennet.me/openforum/vsluhforumID10/3457.html

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Перебор паролей ssh линуксовыми ботами"  +/
Сообщение от WhiteWind (ok) on 26-Мрт-08, 18:22 
>Кроме того, анализ Netflow показывает, что на !несуществующие! адреса приходят пакеты, причём в количестве около 3 Гб за полмесяца на сеть с маской 255.255.255.0

И от этого спасёт?)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Перебор паролей ssh линуксовыми ботами"  +/
Сообщение от vfp7 email(ok) on 26-Мрт-08, 18:29 

>И от этого спасёт?)

У меня НОЛЬ левых обращений на четырех серверах ...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Перебор паролей ssh линуксовыми ботами"  +/
Сообщение от WhiteWind email(ok) on 27-Мрт-08, 11:58 
>
>>И от этого спасёт?)
>
>У меня НОЛЬ левых обращений на четырех серверах ...

Спасибо, ваш ответ мне очень помог ;)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Перебор паролей ssh линуксовыми ботами"  +/
Сообщение от zidi (ok) on 08-Мрт-10, 20:52 
>Настрой firewall на доступ к sshd с определенных ip (можешь привязать MAC
>до кучи) и блокировку всех остальных, этого тебе хватит за глаза.
>
>
>http://www.opennet.me/openforum/vsluhforumID10/3457.html

У меня такая же ситуация как описано выше, на мыло подобные мессаги пришли.
Но ограничивать по ИП я не могу ибо приходится ходить не сервер по ssh не только из локальной сети, а и по мобильнику к примеру. Номер порта для ssh  я переназначил, всё работало наверно с пол года, потом увидел на почте вышеуказанные сообщения и на сервер зайти по ssh не могу, а нахожусь физически от него далеко.
Как быть?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Перебор паролей ssh линуксовыми ботами"  +/
Сообщение от Kbvepby on 31-Мрт-10, 15:16 
>Как быть?

Посмотрите denyhosts

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Перебор паролей ssh линуксовыми ботами"  +/
Сообщение от Hao on 08-Июн-11, 11:02 
portknock в помощь, причем лучше с помощью iptables можно сделать, не заморачиваясь левым софтом.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру