Linux за българи: Форуми

Сигурност => Системна Сигурност => Темата е започната от: h7d8 в Feb 16, 2009, 19:11



Титла: ssh атаки
Публикувано от: h7d8 в Feb 16, 2009, 19:11
Здравейте! Забелязах ,че в рамките на 2-3 дни имам адски много набези за атака на shh. От логовете ,които погледнах набързо записах мноножество адреси.За мое щастие "Accepted password for" съм само аз. :) Ако имате и вие такива проблеми тези можете да ги добавите към черния списък.

211.60.15.30
64.127.108.76
189.56.25.146
195.242.98.25
61.128.114.70
202.108.29.8
58.222.11.2
123.233.245.226
61.19.254.3
217.125.87.113
203.77.217.34
222.35.143.63
83.143.176.67
60.28.41.3
189.57.19.210
208.100.19.144
222.35.136.30
60.248.32.151
77.222.133.242
211.147.224.41
94.75.235.44
79.173.101.136
64.2.18.194
72.20.2.154
123.233.245.226
68.152.76.202
88.191.92.141
203.200.160.198
123.49.46.3
150.140.12.200
219.237.213.239
222.35.143.63
190.154.136.164
61.187.64.8
78.111.76.250
117.28.224.71
12.26.134.77
68.152.76.202
82.135.146.116
76.74.149.82
41.246.127.0
216.65.19.140
189.20.255.10
66.98.214.20

Ще се радвам всеки ,който го валнува тази тема да обмени опит как е процедирал и имало ли е ефект.Аз лично не съм окрепил чак толкова машината ,която ползвам но се обеждавам ,че трябва да го направя.  ;D


edit by neter: Редакция по името на темата. Редакциите в следващите постове са свързани със същото.


Титла: Re: ssh атаки
Публикувано от: arda_kj в Feb 16, 2009, 20:23
Аз не съм имал подобни неприятности.

Това, което правя е да пускам ssh да слуша на друг порт, различен от подразбиращия се 22, който всички знаят :). Така ако някой иска да се домогне до машината през ssh трябва първо да си загуби времето да открива на кой порт слуша пък после нека се мъчи да се домогва. Само, че в допълнение на сменения порт го дебне още една защита - програма (portsentry) която слуша на добре познатите портове и се прави на въпросните услуги (ако няма друга програма която да ги заеме), примерно слуша на портове 21/22/23/80/6000 и т.н. и ако нещо сканира или направи опит за свързване повече от два пъти (това може да се настрои) блокира даденото IP, което се опитала да се свърже. По този начин "апетитните" портове (които всеки, който иска да краква нещо сканира задължително) се явяват клопка и примамка, която използвам, за да хвана евентуални опити на зложелатели да се опитват да правят каквото и да било и по-този начин ги блокирам. Програмата си има лог, в който се описват засечените и блокирани IP. Хубавото е, че програмата не заема почти никакви ресурси. Хаха много хитро, а?
И третото ограничение, което може евентуално да се направи е да листнеш от какъв/какви IP може да се свързват с твоята машина отвън през ssh. Тогава вече не знам какво трябва да стане, за да ти хакнат машината през ssh.

Това е, което аз ползвам. Трето в момента съм го изключил, т.к. машината ми не е сървър и не ми трябва чак такива превантивни мерки.


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 16, 2009, 20:38
Правят такива неща, но изобщо не им обръщам внимание. Като имам добра пароля не виждам как биха могли да я познаят. Ако ssh има бъг, определено няма да съм в първите десетина хиляди в списъка за хакване.


Титла: Re: ssh атаки
Публикувано от: wfw в Feb 16, 2009, 21:48
в допълнение на tarator мога да добавя, че можеш да ограничиш поне по няколко начина разрешените IP-та, които ползват SSH.

1) можеш да добавиш запис в hosts.allow
2) по спомен можеш да добавиш AllowUsers в sshd_config, така можеш да ограничиш кой точно потребител от кое IP да влиза.

виждал съм сървър, който е хакнат с brute force нa root акаунта със 8 буквено-цифрова парола, така че е добре паролата да е поне малко случайна.

можеш да забраниш и root да влиза директно през ssh.

ако пък си тарикат, можеш да си генерираш една двойка ключове и да забраниш изцяло логването на сървъра с user/pass, като разчиташ само на твоя ключ.

има всякакви закачки, кои полезни, кои не толкова...  [_]3


Титла: Re: ssh атаки
Публикувано от: arda_kj в Feb 16, 2009, 22:09
Мда, wfw е прав - задължително забраняване на root да се логва, така освен парола, пишман хакера трябва да гадае и потребителското ти име, тогава вече става много трудно да се пробие ако ssh няма някакъв сериозен бъг. Ако ти трябва root достъп, след логване с обикновен потребител изпълняваш su и пей сърце. То затова е опасно да се разреши на root да има право на логване, тогава просто трябва да се разгадае само паролата му (понеже всеки знае, че има потребител root), което улеснява прекалено много въпросния хакер. Отдруга страна разгадаването на неизвестно потребителско име с неизвестна парола е почти невъзможно (дори ако паролата е по-малка от 8 букви).

ПС: Модератора ако може да оправи заглавието, че това shh боде очите.


Титла: Re: ssh атаки
Публикувано от: gat3way в Feb 16, 2009, 22:16
Това е относително безобидно. Има два ефективни мерки по въпроса - забраняваш password автентикацията и караш само на ключове. Това прави невъзможна тази атака, обаче създава една система от доверени хостове, която може да е опасна, примерно хакват ти машината и след като имат ключове за други машини, хакват другите машини :)

Другата мярка, която на мене много повече ми допада - просто нямам малоумни пароли и имам много малко на брой системни акаунти. Нека си се пробват. Значи всичко си има идея, идеята не е някой да строши една година, за да ми налучка паролата, идеята е ако има лесни пароли, да се възползват. Доколкото съм запознат с ssh bruteforce скенерите, те хващат някакъв range от адреси и пробват сравнително ограничен брой потребители/пароли.

От друга страна бях гледал в един хахорски форум резултатът от изпълнението на подобна глупост върху един /22 блок от адреси - бяха нацелили поне 10-ина акаунта. Ако успяваемостта е такава, лоша работа значи..


Титла: Re: ssh атаки
Публикувано от: h7d8 в Feb 16, 2009, 23:21
Лично моите логове са пълни с какви ли не потребители.Главната причина поради ,която реших да пиша е точно тази.Преди време бях изчел доста материал отностно това ,но не направих нищо понеже нямах никакви конекции към *22 и не считах ,че е нужно това.Но в рамките на 2-3 дни имаше 30 и нагоре различни адреси ,които са пробвали брутефорс и незнам още какво.Е явно паролата държи на напана ,но сега ще седна и ще реализирам няколко стъпки по сигурността.

@arda_kj да приемем ,че нормално работещ уеб сървър си слуша на порт 80 и въпросната програма е пусната да обслужва именно него.Какво ще стане ,когато даден потребител пробва да се закачи към машината?

@arda_kj оп :) отговорих си сам.  [_]3


Титла: Re: ssh атаки
Публикувано от: VladSun в Feb 16, 2009, 23:34
Имам някакви разработки по темата:
http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=385185851
http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=374186810
http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=393512859

В последната статия съм добавил и ограничение за достъп до услугите (или само някои от тях) само от български мрежови префикси, което де факто ще отреже 99,9% от атакуващите.

ПП: Сега като ги гледам, май е по-удачно да се използва само hashlimit match-a, вместо recent match-a.


Титла: Re: ssh атаки
Публикувано от: arda_kj в Feb 17, 2009, 00:39
Ще погледна на VladSun линковете, но само да вметна нещо. Добре това ssh няма ли опция, при която при неуспешен опит за логин да има някакво време, през което да е невъзможен следващ логин, примерно 30 секунди. При такава една ситуация bruteforce и dictionary атаката стават ужасно бавни и следователни ужасно неефективни, дори да имаме слаби потребителски имена и пароли.
Второ, което ми идва на ум е ако може да се направи при N на брой грешни опита за логин, забрана на даденото IP за определен период от време - тогава отново всякакви опити за атака базирани на bruteforce, dictionary и т.н. стават почти невъзможни.

Иначе не липсват в логовете на portsentry ентусиасти на порт 22 (на който няма нищо, т.е. има ама капанче за хахори), аз съм го направил на два опита за връзка да отива в блокираните IP-та. Пък те нека се мъчат на кой порт слуша ssh, после обаче както казах ги чака други енигми :).


Титла: Re: ssh атаки
Публикувано от: h7d8 в Feb 17, 2009, 02:19
Ще погледна на VladSun линковете, но само да вметна нещо. Добре това ssh няма ли опция, при която при неуспешен опит за логин да има някакво време, през което да е невъзможен следващ логин, примерно 30 секунди. При такава една ситуация bruteforce и dictionary атаката стават ужасно бавни и следователни ужасно неефективни, дори да имаме слаби потребителски имена и пароли.
Второ, което ми идва на ум е ако може да се направи при N на брой грешни опита за логин, забрана на даденото IP за определен период от време - тогава отново всякакви опити за атака базирани на bruteforce, dictionary и т.н. стават почти невъзможни.

Иначе не липсват в логовете на portsentry ентусиасти на порт 22 (на който няма нищо, т.е. има ама капанче за хахори), аз съм го направил на два опита за връзка да отива в блокираните IP-та. Пък те нека се мъчат на кой порт слуша ssh, после обаче както казах ги чака други енигми :).

Има разбирасе.Това се осъществава с #MaxStartups 10:30:60 .Доспа ми се, утре мисля да постна целия процес ,който преминах да подсигуря достъпа до машината.  ::)


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 17, 2009, 03:34
Може и да не го правиш, и без това линуксаджиите са нездравословно параноични :)


Титла: Re: ssh атаки
Публикувано от: strandvata в Feb 17, 2009, 08:28
Може да се използва и DenyHosts. Вършеше работа, но не знам дали още се разработва:
http://denyhosts.sourceforge.net/ ($2)


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 17, 2009, 09:25
Имам някакви разработки по темата:

на военните ;D Слушай милен4е2, ползвай ключове, трябва да си адски малоумен или да пишеш код за кернела, за да ползваш пароли с ssh. Не ти трябват никакви допълнителни програми, щото колкото повече работи наблъскаш, толкове по-уязвим ставаш, а реално те няма да ти повишат сигурността до непробиваемост. ТСП враппер не става за защита, това е се едно да влизаш с ХП файъруола в нет, ИП не е направен за аутентификация, но това не пречи на разни хора да си мислят че е... айде стига съм се правил на разбирач.
Ако имаш време, може да му направиш един куркапан ;D ДА го пуснеш в някой jail и да му гледаш сеира или да пуснеш контра и ако е зомби поне да кажеш на потърпевшия и т.н. Нека да се изкажат нинджите на макаджията и тех, стига са се забили по тея порносайтове ;D Това последното го прави, ако си наясно с нещата, щото като си го вкараш сам най-боли ;D


Титла: Re: ssh атаки
Публикувано от: zeridon в Feb 17, 2009, 11:01
Е дискусията е покрила всички мерки но да спомена моята предпочитана реализация.

1) Защитата трябва да е на нива и да покрива колкото се може/знае повече проблеми/пропуски/забраванки
2) Логовете са за четене ... не за красота
3) Какво ползвам

Относително проста и бърза комбинация
 * root не може да се логва отдалечено а само на конзола
 * паролите ми са случайни
 * за другите потребители по машините има cracklib и специален списък събран от script kiddie-та
 * използвам denyhosts със доста консервативни настройки, без whitelisting и с малко blacklisting и естествено синхронизация с централният им сървър
 * на ssh може да се логнеш само със ключ и то само от определени адреси (което води до малки неудобства тук таме ама се преживява)
 * логовете се препарсват автоматично от logwatch и се пращат на няколко места за преглед
 * имам мониторинг за натоварване на машина и достъпност на услугите.

Като цяло това е защитата и до момента работи много добре. Наложи се да я имплементирам след като един коадмин беше слагал бинд и не му беше махнал шела та доста грозно ми бяха натаковали машинката. Не я бяха изрутили ама ...

Бъдещи реализации:
 * собствен сървър за синхронизация на denyhosts ама нещо нямам време за reverse engineering на протокола им на синхронизация
 * denyhosts на втората машина в рейнджа от адреси дето се намирам
 * виртуална машина със слаби пароли на първият адрес от рейнджа - това го имам на едно място но трябва да го автоматизирам малко. Идеята и е да събира богатствата на script kiddie-тата (най вече списъците) и да си ги ползвам аз (cracklib, статистики, ботчета, C&C сървъри и други такива)


Титла: Re: ssh атаки
Публикувано от: gat3way в Feb 17, 2009, 13:29
Порче, мене ми се вижда малко малоумно да chroot-ваш ssh демона :)

Тва е...ъъъъм все едно да си инсталираш една клетка в антрето, така че когато някой разбие входната врата, да не може да ти ходи по стаите. Лошото е и че ти когато си я отключиш, също ще се озовеш в клетката и няма да си стигнеш до дневната например :)



Титла: Re: ssh атаки
Публикувано от: h7d8 в Feb 17, 2009, 14:39
Не съм чак толкова параноичен и не прилагам много от крайностите ,които могат да се реализират.  ;) С оглед на моите нужди и взето главно под внимание удобство/неудобство ето как процедирах с моята машина.

1. смяна на порта на ssh демон-а
2. забрана на руут потребител
3. забрана на протокол версия 1 ,оставих само версия 2
4. лимитиране на броя грешни опити
5. времето за дропване на адреси при грешен опит го увеличих
6. добавих в hosts.deny всички досегашни атаки събрани от логовете
7. описах само потребителите ,които съществуват
8. в hosts.allow добавих правило което пише в лог кой е  допуснат ( не че го няма другаде,но едно малко логче не е излишно )

Тук със сигурност няма да откриете 100% защита ,но би затроднило този ,който иска да направи мизерия.Съгласен съм с @por4e2 ,че колкото повече излишни приложения се добавят толкова повече дупки се отварят.  ;D


Титла: Re: ssh атаки
Публикувано от: ilian_BIOS в Feb 17, 2009, 14:57
Цитат
...това е се едно да влизаш с ХП файъруола в нет

и какво става?  :)


Титла: Re: ssh атаки
Публикувано от: gat3way в Feb 17, 2009, 15:23
А, да, има го този малоумен проблем (не е свързано толкова с темата), който касае използването на двете версии на протокола.

Значи когато се опитваш да установяваш ssh връзка се прави обмяна на подържаните версии на протокола. Принципно ако и двете страни подържат 2, тогава се осъществява sshv2 връзка.

Сега съвсем теоретично, ако можеш по някакъв начин да се направиш на сървъра, с който се свръзва жертвата на злата хахорска атака (примерно ако си в един етернет сегмент можеш да мацаш АРП кешове, да си преправяш мак адреса и тем подобни магарии....ако не - тогава може би си имаш опцията да цапаш DNS кешове, което е по-слабо вероятно, но пак би могло да успее), тогава ти можеш да си стартираш твой си сървър, който може да приема единствено sshv1 връзки и който е пач-нат по начин, по който лог-ва въведените пароли.

И какво от това? Ами понеже повечето сървъри и клиенти подържат и версия 1 и версия 2 или само 2, то има голяма вероятност жертвата никога досега да не е установявала връзка до машината по sshv1. Което значи, че ако успееш да се направиш на тази машина по някой от гореописаните методи, тогава ще стане следното:

жертвата (клиент), подържа версия 1 и 2
машината (*фалшив* сървър), подържа само версия 1
=> negotiate-ва се ssh сесия, която използва версия 1 на протокола.

Е кво от това? Ами просто ssh клиента на жертвата ще каже "приемате ли ключа на еди кой си хост..." вместо да изкара онова грозно съобщение от сорта на ВНИМАНИЕ! КЛЮЧЪТ Е ПОДМЕНЕН! ВЪЗМОЖНО Е НЯКОЙ ДА ПРАВИ НЯКАКВА ГАДОСТ! и връзката да бъде прекратена.

При което жертвата си въвежда потребителското име и парола, злият хахор ги събира и после се лог-ва с тях на машината.

Доста малоумно и си работеше последният път като го пробвах (преди 2-3 години), твърде вероятно и още да работи, защото това не е бъг, а feature :)

Затова не само на машините, които се защитават срещу брутфорс атаки, ами и на машината, от която се връзваш на тях, е добра идея идея да попромениш леко конфигурацията на ssh.

Редактираш ssh_config, слагаш  Protocol 2 и такам :)

Може да звучи малко параноично, но всъщност въобще не е сложно да се изработи подобен сценарии, поне аз не видях много зор когато се опитвах да го проиграя :)


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 17, 2009, 16:16
Ето пък как процедирах аз като видях подобни неща в лога:

1. Преместих си го от единия крачол в другия.
2. Продължих да използвам добри пароли.

:)


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 17, 2009, 17:54
Порче, мене ми се вижда малко малоумно да chroot-ваш ssh демона :)

Тва е...ъъъъм все едно да си инсталираш една клетка в антрето, така че когато някой разбие входната врата, да не може да ти ходи по стаите. Лошото е и че ти когато си я отключиш, също ще се озовеш в клетката и няма да си стигнеш до дневната например :)
Тва къде съм го писал? Прочети ми мнението пак. :) Явно като си чупил френски сайтове, админите не са сложили jail тук там. Идеята е като черните дупки дето ловят зомбита и скрипткидита в нета. ;) Има една жълта книга с трезор отвън и пише - unix security, там го пише как се прави тоя номер, къв chroot() на демони, кви 5 лева?


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 17, 2009, 17:56
Ето пък как процедирах аз като видях подобни неща в лога:

1. Преместих си го от единия крачол в другия.
2. Продължих да използвам добри пароли.

:)
Програмистите никога не са били особено умни, като такъв май не правиш изключение ;) Добри пароли няма.


Титла: Re: ssh атаки
Публикувано от: h7d8 в Feb 17, 2009, 17:59
Ето пък как процедирах аз като видях подобни неща в лога:

2. Продължих да използвам добри пароли.

:)

Можеби най-важното нещо е това.Да си сложиш добра парола ,която да държи фронт-а.

Относно обяснението на @gat3way за версия 1 и 2 на протокола ,съгласен съм.Като цяло версия 1 е остаряла и несигурна в наш плюс е работната версия да бъде 2.  [_]3


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 17, 2009, 18:00
Гениалното порче се показа от дупката си и се из....каза :)


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 17, 2009, 18:05
Гениалното порче се показа от дупката си и се из....каза :)
Няма да се надспамвам с теб сега, но всичко което пишеш на клавиатурата може да се прихване, оттам нататък, ако искаш си напиши паролата с 300 знака на китайска клавиатура.
Помпай си драйверите за кърнъла и не се бутай ;)


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 17, 2009, 18:06
Ако всичко, което пиша от клавиатурата може да се прихване, не мислиш ли, че и всичко което го има на диска не може да се прочете? Или ти просто не мислиш? :)


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 17, 2009, 18:08
Ако всичко, което пиша от клавиатурата може да се прихване, не мислиш ли, че и всичко което го има на диска не може да се прочете? Или ти просто не мислиш? :)
Това са две коренно различни неща. Стига си флудил темата с неща, които не са ти ясни.


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 17, 2009, 18:11
Какво им е коренно различното? :) Може да имаш програма, която прихваща клавиатурата, но не може да чете от диска? Забавно е колко отчайващо неграмотен си :)


Титла: Re: ssh атаки
Публикувано от: gat3way в Feb 17, 2009, 18:21
А, аз видях нещо за jail-ване и за ssh и така. Иначе може бе, ако sshd-то ползва privilege separation може дори индивидуални потребители да се chroot-ват, scponlyc е пример за което. Ама това няма да реши проблема като цяло, в смисъл за да е ползваема системата трябва да има акаунти, които да са си наред, пък тези акаунти може да си се атакуват. Може и цяла система да си dedicate-неш и да гледаш кво правят лошите по нея, там honeypot помодерно му. Едно време нали правех една  хахорска игра, тя дефакто си е  подобна работа, ма кво от това, аз не съм я правил с цел да ставам по-сигурен така или иначе :)

Мене ми е интересно въобще това защо се приема като някакъв особен проблем. Силно убеден съм че има много повече, много по-сериозни проблеми от това. Това си се решава много просто - правиш си достатъчно сложни пароли и не ги използваш на друго място. Всичко останало според мен е някакъв overkill.

Хм, а и жълтурите бълват евтино и сега е евтино и дисковото пространство, и паметта, и процесорите, но най-вече дисковото пространство. От друга страна, виртуализацията е нещо много достъпно в последно време. Имам една теория че в скоро време в немалко случаи ще бъде по-оправдано просто да връщаш малко по-стар бекъп на целия имидж на виртуалната машина, отколкото по цял ден да се занимаваш да параноясваш, орязваш, ъпдейтваш на секундата и да си трошиш и времето и нервите. Ако стане проблем, имаш нормален, имаш и хакнат имидж. Палиш нормалния и гледаш по хакнатия какво се е строшило, за да вземеш мерки.

Примерно сега нали хоствам поредната малоумна хахорска игра, в която има оставена пролука, водеща до руут достъп. Съответно не му пречи и dd if=/dev/zero of=/dev/hda да си спретнеш ако имаш права. Времето, за което мога да вдигна пак същата система в състоянието й отпреди един ден назад ми е по-малко от минута (стига да го видя навреме разбира се :) ). Е, сигурно бая псувни ще тегля покрай това.

При това положение не знам защо трябва да издребнявам и да се чудя в какви параноични настроения да изпадам, няма смисъл :)


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 17, 2009, 19:59
А, аз видях нещо за jail-ване и за ssh и така. Иначе може бе, ако sshd-то ползва privilege separation може дори индивидуални потребители да се chroot-ват, scponlyc е пример за което. Ама това няма да реши проблема като цяло, в смисъл за да е ползваема системата трябва да има акаунти, които да са си наред, пък тези акаунти може да си се атакуват. Може и цяла система да си dedicate-неш и да гледаш кво правят лошите по нея, там honeypot помодерно му.
Точно, въпреки че honeypot е за мен друго.

Цитат
Хм, а и жълтурите бълват евтино и сега е евтино и дисковото пространство, и паметта, и процесорите, но най-вече дисковото пространство. От друга страна, виртуализацията е нещо много достъпно в последно време.
За съжаление, и това е резултатът - кур дуо на всеки метър :( После бозата не върви, линукса не разпознава, стана мазало, а всъщност хардуера е скапан, но евтин и рулираме с памети и процесори на НЛО от 60те ;)
Цитат
Имам една теория че в скоро време в немалко случаи ще бъде по-оправдано просто да връщаш малко по-стар бекъп на целия имидж на виртуалната машина, отколкото по цял ден да се занимаваш да параноясваш, орязваш, ъпдейтваш на секундата и да си трошиш и времето и нервите. Ако стане проблем, имаш нормален, имаш и хакнат имидж. Палиш нормалния и гледаш по хакнатия какво се е строшило, за да вземеш мерки.
Сега ми кажи на колко време си рестартираш сървърите и ще задам въпроса с шоколадчето - много хора се подвеждат от тази виртулизация. Едва ли някой иска да ти чупи машината, стига му да си сложи един руткит, а че ще изчезне след 2 месеца като рестартираш имиджа, на кой му пука? ;) Има една презентация на jrutkowska, гледай я, ще си промениш мнението. Тая голяма свиркаджийка май... ;D
Цитат
Примерно сега нали хоствам поредната малоумна хахорска игра, в която има оставена пролука, водеща до руут достъп. Съответно не му пречи и dd if=/dev/zero of=/dev/hda да си спретнеш ако имаш права. Времето, за което мога да вдигна пак същата система в състоянието й отпреди един ден назад ми е по-малко от минута (стига да го видя навреме разбира се :) ). Е, сигурно бая псувни ще тегля покрай това.
Стига да си повярваш, че някой ще си играе да ти трие харда или да ти прави мизерии.

Цитат
При това положение не знам защо трябва да издребнявам и да се чудя в какви параноични настроения да изпадам, няма смисъл :)
Естествено че не, щом за теб всичко опира до триене на харда, едва ли ще усетиш че някой се е възползвал от теб. Говоря по принцип, а не точно за теб.


Титла: Re: ssh атаки
Публикувано от: gat3way в Feb 17, 2009, 22:24
Значи това може да се автоматизира. Редхат примерно сега разработват една идея, която много ми допада, която се нарича "stateless linux". Това в общи линии са едни готово приготвени имиджи с линукс и някакъв софтуер, които се деплойват където трябва за отрицателно време. Има там някакви механизми за автентикация, един ldap сървър, който пази глупости, свързани с цялата тарапана, как и да е. Това в комбинация с виртуализацията има голямо бъдеще според мен.

Мисълта ми е че в близкото бъдеще, когато имаш повече системи и не ти се хаби време да пачваш и ъпдейтваш индивидуално, просто правиш една промяна по имиджа, която да ти пасва на идеите и целите. После просто палиш наново виртуалните машини с този имидж. Ето ти ъпдейтната, нова система и софтуер за нея, които ти вършат работа.

Сигурно е грубо и сигурно позволява гранични случаи, обаче в общият случай върши работа (върши работа в общия случай и за този дето дава парите за тарапаната).

А иначе да, възможни са гранични случаи, примерно не всички биха занулили блоковите устройства и не всички биха се разписали в някой индексен файл на уеб сървъра, все някой ще захитрее. Обаче за такива неща и преди не е имало гаранция. Просто сега щетите евентуално се оправят по-лесно.


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 17, 2009, 22:52
IBM отдавна се забавляват с подобни неща с виртуални машини. Един приятел от IBM Research беше писал нещо подобно преди поне 2-3 години.


Титла: Re: ssh атаки
Публикувано от: h7d8 в Feb 18, 2009, 14:01
Странно защо ,обаче описвам дадено ип в hosts.deny по различни начини ,но винаги от това ип някой може да се закачи.

hosts.deny ->
ALL: IP
hosts.deny ->
sshd: IP
hosts.deny ->
sshd: IP : DENY

По различни начини пробвам и ип-то пак има достъп.Ако бъркам нещо нека някой да помага.  [_]3


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 18, 2009, 17:29
Да, бъркаш и вместо да си потърсиш грешката като напишеш syntax+host.allow в Гошо, искаш помощ за вече решени проблеми. В дени трябва да е алл:алл и после в аллоу пишеш Ип
Този форум е няква лудница. ???


Титла: Re: ssh атаки
Публикувано от: Addicted в Feb 18, 2009, 19:47
Аз съм си пъснал пптп сървър и ssh демона не слуша за конекции на реалните ип-та. С впн се вързвам отдалечено към машина и се вързвам към fake ip което е за пптп сървър. Другото както сте споменали, роот не може да се логва и порта е на доста по висок range от 22-ри.
Благодаря за вниманието.


Титла: Re: ssh атаки
Публикувано от: h7d8 в Feb 18, 2009, 23:57
Да, бъркаш и вместо да си потърсиш грешката като напишеш syntax+hostS.allow в Гошо, искаш помощ за вече решени проблеми. В дени трябва да е алл:алл и после в аллоу пишеш Ип
Този форум е няква лудница. ???

Ти пък медиум ли си ? От къде знаеш какво съм търсил и какво не.В hosts.deny / hosts.allow мога да си ги подредя както аз искам.Глупости са ,че в hosts.deny трябва да е  ALL: ALL .Спести си коментара и пиши само ,ако имаш нещо по темата.Като ти е лудница си търси спокойствие няма нужда да си "на всяко гърне похлупак".До тук като те гледам не помогна с нищо на никой ,а само коментира цитати.Пък земи ти потърси в "ГОШО"...


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 19, 2009, 09:43
В hosts.deny / hosts.allow мога да си ги подредя както аз искам.
Ето точно това не можеш и не трябва, защото не знаеш как работи тсп врапер. Айде успех, няма се обаждам вече тук, явно всеки е вече експерт. Няма лошо! ;D


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 19, 2009, 16:04
Теб вече те видяхме какъв ескперт си, кийлогърите не можели да четат от диска :)


Титла: Re: ssh атаки
Публикувано от: gat3way в Feb 19, 2009, 17:03
Този не може :)

(http://www.gadget-box.com/images/keyloggerps2.jpg)

Обаче изглежда много симпатично :)


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 19, 2009, 17:04
кийлогърите не можели да четат от диска :)
Къде съм го писал това?!? Въобще не ставаше въпрос за кийлогъри, но явно за теб това е единственията начин за прихващане на пароли, затова ти казах да не се обаждаш - просто не си запознат с някои работи :)


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 19, 2009, 18:10
А какво си казал? Какво е това: "но всичко което пишеш на клавиатурата може да се прихване"? Как ще прихванеш каквото пиша на клавиатурата?

gat3way, ако някой има физически достъп до компютъра, не мислиш ли, че освен това може да сложи и нещо друго? Физически достъп == хакнат компютър.


edit by neter: Редактирано, съгласно т.6 от правилата ($2) на форума.


Титла: Re: ssh атаки
Публикувано от: gat3way в Feb 19, 2009, 18:52
Може да няма време или да не знае как.

Такива примерно можеш да си накупиш и да ги инсталираш по интернет кафетата, лошото е че там има геймъри дето блъскат по клавиатурите като невидели, хехе :)


Титла: Re: ssh атаки
Публикувано от: tarator в Feb 19, 2009, 20:21
Разбира се, че по интернет кафетата не може да очакваш абсолютно никаква сигурност. Кой наивник може да си помисли нещо друго? Там нито пароли, нито ключове могат да се използват. За такива ситуации си има други методи за отентикация.

Физически достъп до компютъра => никакви гаранции за сигурност.


Титла: Re: ssh атаки
Публикувано от: ANTIADMIN в Feb 20, 2009, 09:38
edit by neter: Изтрито, съгласно т.6 от правилата ($2) на форума. Потребителят губи правото да пише във форума за период от 5 дни.


Титла: Re: ssh атаки
Публикувано от: malipali в May 16, 2009, 02:04
Наистина трябва да бъде ALL:ALL във hosts.deny, но ако потребителя който се конектва към дадения сървър е със динамичен ИП адрес как би слевало да се добави във hosts.allow  ???


Титла: Re: ssh атаки
Публикувано от: h7d8 в May 19, 2009, 23:27
Наистина трябва да бъде ALL:ALL във hosts.deny, но ако потребителя който се конектва към дадения сървър е със динамичен ИП адрес как би слевало да се добави във hosts.allow  ???

При мен имаше доста проблеми с hosts.deny/аllow и накрая в тях оставих команда ,която ми пише логове.Лог за допуснатите връзки и за тези с неуспешни логвания.Незнам за твоя проблем ,но го напиши и ще се опитаме да го разрешим.  [_]3


Титла: Re: ssh атаки
Публикувано от: malipali в May 20, 2009, 00:37
Значи, слагам си аз във hosts.deny -> ALL:ALL следователно след тва във hosts.allow описвам адресите които да се допускат. Мисълта ми е следната, ако потребителя които искам да допусна до системата чрез hosts.allow е със статичен ИП адрес няма никакъв проблем но ако е със динамичен(примерно потребителите на БТК) има ли начин да се опише във hosts.allow или по някакъв друг начин, за да не забранявам всеки адрес който се е опитал да получи достъп "насилствено" или по какъвто и да е друг начин :) щото му се губи смисъла на hosts.allow i hosts.deny по този начин :). Тааа тва ми е "проблема" ако може така да се каже :) [_]3


Титла: Re: ssh атаки
Публикувано от: neter в May 20, 2009, 08:54
Значи, слагам си аз във hosts.deny -> ALL:ALL следователно след тва във hosts.allow описвам адресите които да се допускат. Мисълта ми е следната, ако потребителя които искам да допусна до системата чрез hosts.allow е със статичен ИП адрес няма никакъв проблем но ако е със динамичен(примерно потребителите на БТК) има ли начин да се опише във hosts.allow или по някакъв друг начин, за да не забранявам всеки адрес който се е опитал да получи достъп "насилствено" или по какъвто и да е друг начин :) щото му се губи смисъла на hosts.allow i hosts.deny по този начин :). Тааа тва ми е "проблема" ако може така да се каже :) [_]3
Някой май не чете документациите :) Ако правилно съм ти разбрал мисълта, то имаш два варианта за описване на динамичен адрес - с wildcard (* и ?) или с описване на мрежа. Примери за въвеждане в hosts.allow
Цитат
ALL: 111.222.333.*
ALL: 111.222.333.0/255.255.255.0
ALL: 111.222.333.1?0
Последният пример ще допуска всички IP-та, предпоследната цифра на които може да бъде от 0 до 9. Чети ($2) ;)


Титла: Re: ssh атаки
Публикувано от: ntrance в May 20, 2009, 09:41
Administratori!!!. Излагате се  ,   кой chroot  ,  кой незнам си какво   прости защити за ssh
Смяна на порт
Спиране  на  роот логин и слагане само на един юсер за логин
ssh-keygen
Най Важнoто   '  fail2ban ' i " Portsentry"
Какво друго ви трябва !!! ?


Титла: Re: ssh атаки
Публикувано от: malipali в May 20, 2009, 12:27
neter благодаря ти, наистина не бях прочел, вече всичко ми е ясно :)


Титла: Re: ssh атаки
Публикувано от: h7d8 в May 20, 2009, 23:14
neter благодаря ти, наистина не бях прочел, вече всичко ми е ясно :)

Помисли и относно поста на @ntrance и имай едно на ум с тези динамични адреси и като цяло ,ако даваш достъп до мрежа или мрежи. Успех! :)