|
Титла: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: Pavlik в Mar 03, 2010, 17:52 http://pele2.1gb.bg/eto.html
Хакват ли ме ??? или опит за влизане в системата ??? Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: Naka в Mar 03, 2010, 18:27 Направо се опитват да те опънът. :o
Това са ботове, които пробват различни често срещани имена на потребители. Направи така че 22 порт да се вижда само от адресите от които влизаш. Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: dejuren в Mar 03, 2010, 18:44 Хакват те та се скъсват... ;) Ето тук ($2) е обсъдено какви варианти има за защита. Но нищо сериозно, както колегата Pavlik отбеляза това са ботове, дето си търсят широко отворени врати.
Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: luda_glawa в Mar 03, 2010, 20:18 Като първа стъпка смени порта на SSH сървъра на някой от високите номера, оставени за свободно ползване.
Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: ntrance в Mar 03, 2010, 20:32 "Hydra-ta" Я убива fail2ban . Поне това е най лесния начин :) Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: ntrance в Mar 03, 2010, 20:38 Гледам ,че хидрата се ползва от това ип 91.142.210.48 , направи един прерутинг когато влезне това ип на порт 22 да се редиректва към него си на порт 22 с една дума да чупи неговата си машина :).
Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: Pavlik в Mar 03, 2010, 20:58 Проблема ми е че от кернела в менюто съм махнал network filtring и като напиша
iptables -L can't initialize iptables table `filter': iptables who? (do you need to insmod?) bash: syntax error near unexpected token `(' root@78:/usr/src/linux# Perhaps iptables or your kernel needs to be upgraded. Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: bop_bop_mara в Mar 03, 2010, 20:59 18, 19 и 20 МАРТ??? Това лог от близкото бъдеще ли е или от преди 1 година?
Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: Pavlik в Mar 03, 2010, 21:02 18, 19 и 20 МАРТ??? Това лог от близкото бъдеще ли е или от преди 1 година?Не съм много сигорен дали датата е точна но тая версия на линукса ми нямат 2-3 месеца..... нз защо така....... Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: n00b в Mar 04, 2010, 01:27 http://pele2.1gb.bg/eto.html Защитите са няколко. 1. Промяна на порта (от 22 на 222 или 2222 а защо не и 22222) - мисля че е тъпо 2. Премахване на root възможност за влизане - АБСОЛЮТНО задължително 3. Инсталиране на ssh blacklist - http://www.pettingers.org/code/sshblack.html Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: gat3way в Mar 04, 2010, 09:52 Просто ползваш по-къдрави пароли и забраняваш root logins, оттам нека си се пробват. Когато системата се ползва от няколко хора вече е по-сложно, защото може да имат различни разбирания за силна парола.
Съществува и една друга гадост, която е известна на по-малък брой хора. sshd по принцип си има лимит на броя неавтентицирани конекции (по дефолт е 10) и не е много сложно да отвориш толкова на брой връзки до sshd-то и да ги държиш отворени. Когато запълниш connection pool-а дотам че да удариш този лимит, никой повече не може да се върже на сървъра докато някоя от конекциите не таймаутне (което става бързо). Става обаче малко по-бавно ако след отваряне на връзката пратиш SSH протоколен низ, примерно "SSH-2.0-hahor". След пращането му, сървърът е избрал коя версия на ssh протокола да ползва и ти праща ciphersuite и чака клиентския такъв, за да се сдоговорят какви алгоритми да ползват. Проблемът е че веднъж пратиш ли протоколния низ, поради някакво решение на разработчиците, в повечето случаи, връзката таймаутва доста по-бавно (след една до няколко минути). Та лошите само трябва да извъртят един безкраен цикъл с няколко пъти echo "SSH-2.0-hahor" | nc victim 20" и sleep известен период до следващата итерация, резултатът е че victim става недостъпен по ssh докато не спре атаката. Това определено е доста дразнещо ако единственият вариант да си достъпиш машината е remote през ssh - нищо не може да се направи. Тогава вече има смисъл от разни фокуси с iptables. Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: Pavlik в Mar 04, 2010, 10:47 Добре ще се пробам да сменя порта а това как да го оправя
File: /var/log/syslog много такива грешки има защо така ??? error: Could not get shadow information for NOUSER Давайте какво да пиша с тоя shh за да блокирам ип адресите някак ??? Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: n00b в Mar 04, 2010, 14:39 ТИ чете ли за ssh blacklist?
Ето ти и най-хубавата статия... http://www.debian-administration.org/article/Brute_Force_Protection_with_BlockHosts Значи - това говедо проверява лог-файловете. Ако минат 7 опита за проверка и все неуспешни IP-то се банва за 12 часа. Имаш си настройки кои IP-та никога да не се банват и други такива. Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: Pavlik в Mar 17, 2010, 11:02 Оправих се много лесно ;D
като роот cd /etc/ssh/ nano sshd_config сменяте порта и нямате проблем ;) Титла: Re: Хакват ли ме ??? или опит за влизане в системата ??? Публикувано от: a_petrov в Mar 19, 2010, 11:56 Aз използвам ето това правило и работи перфектно при мен:
sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP |