Изпечатай

[bog_ara]

До известна степен съм спокоен, че ще ме бутнат през root паролата. Едно от първите неща които направих когато инсталирах бе да боцна "PermitRootLogin no" в sshd_config. Внимавам и когато правя ъпдейти, че за малко оставаше да стана част от ботнета на старата щайга .

Смених порта на рутера през който се доставя SSH и за сега няма никакви опити. Предполагам, че до няколко дни ще намерят порта

най - първо пусни един rkhunter да ти сканира дялата система за инталирани rootkits, че като гледам е сериозно положението.

Пуснах, всичко изглеждаше наред. 

Параноя

Замислете се малко - ако ботнета се опитва да се логне като root, пък root logins са забранени, ще загуби доволно много време, което може да оползотвори, пробвайки върху друга система, където са разрешени. Затова си трайте - правите едно добро дело

В интерес на истината доста време се губи. Показания лог е от втория ден на по-сериозната офанзива. Не съм проверявал, но май няма повтарящи се ип-та. Преди това се пробваха за между час и 3 часа и спираха. Но от два дни е така и реших да ви попитам дали и при вас не е така.

От друга страна се чудя, какво толкова видяха в домашния ми компютър, че ще използват толкова много ресурс. Нещо като да утрепеш муха с гаубица.

[gat3way]

Много сатанизирате цялата тъпoтия.

Понеже по едно време ми беше интересна тази работа, даже си написах един SSH bruteforcer (ако някой му е интересно - тук: http://is.gd/4macM ) и имам известни наблюдения.

Първо, проверката на потребителско време/парола отнема прекалено много време. Това става поради няколко причини: първата причина идва от страна на сървъра, втората е от латентността и натоварването на мрежата. Първата идва оттам, че sshd се опитва да прави reverse resolving на адреса на клиента, после автентикацията през PAM е бавна. В идеалният случай, когато работиш срещу localhost, проверката отнема поне 1-2 секунди. Като добавиш и времето за осъществяване на TCP връзката и мрежовите забавяния, проверката може да отнеме поне още 1-2 секунди. 4 секунди за комбинация от потребителско име/парола е ужасно много.

Второ, повечето акаунти срещу които се пробва са по подразбиране неактивни, а що се отнася до root-ския - твърде вероятно забранени за remote логване. Атакуващият обаче няма никакъв начин да разбере за това, едно време е имало разни timing атаки, защото е имало разлика във времето необходимо на sshd да пробва да автентицира съществуващ или несъществуващ потребител. Това отдавна е поправено, а отделно такива неща са много ненадеждни през няколко хопа, защото делтите във времето може да се дължат и на мрежови причини.

Тези атаки могат да разчитат единствено на разни common акаунти с *лесни* пароли, в противен случай вероятността им за успех е много ниска, дори ако продължават в много дълъг период от време. Тези неща лесно се уреждат - преглеждаш си активните акаунти, сменяш им паролата на нещо достатъчно дълго и сложно и ги оставяш да си играят. Ако прекалено много те дразни това, че ти се пълнят логовете с глупости, просто смени ssh порта и разните автоматизирани атаки дето сканират range-ове от адреси твърде вероятно ще те подминат.

Всякакви други дивотии от сорта на port-knocking, лимитиране на SYN пакетите към 22 порт за определено време, забраняване на входящия трафик от голям брой хостове, fail2ban и т.н според мен са overkill.

[gat3way]

А,да, и една проста сметка в случай че речника на атакуващият не покрива паролите (което целим като ги правим дълги и сложни) - да речем, че атакуващият реши да bruteforce-не всички пароли от малки латински букви и цифри и пробата на една парола отнема една секунда (което е много малко, но да речем толкова). Тогава времето необходимо да се пробват всички комбинации от 5,6,7 и 8 символа (малки букви/цифри) е грубо казано:

(36^5 + 36^6 +36^7+36^8)/(3600*24*30*12)= 93290 години.

Та нека си се пробва