Автор Тема: ssh атаки  (Прочетена 9799 пъти)

h7d8

  • Участник
  • *****
  • Публикации: 197
  • Distribution: Debian;Ubuntu
  • Window Manager: Gnome
    • Профил
ssh атаки
« -: Feb 16, 2009, 19:11 »
Здравейте! Забелязах ,че в рамките на 2-3 дни имам адски много набези за атака на shh. От логовете ,които погледнах набързо записах мноножество адреси.За мое щастие "Accepted password for" съм само аз. :) Ако имате и вие такива проблеми тези можете да ги добавите към черния списък.

211.60.15.30
64.127.108.76
189.56.25.146
195.242.98.25
61.128.114.70
202.108.29.8
58.222.11.2
123.233.245.226
61.19.254.3
217.125.87.113
203.77.217.34
222.35.143.63
83.143.176.67
60.28.41.3
189.57.19.210
208.100.19.144
222.35.136.30
60.248.32.151
77.222.133.242
211.147.224.41
94.75.235.44
79.173.101.136
64.2.18.194
72.20.2.154
123.233.245.226
68.152.76.202
88.191.92.141
203.200.160.198
123.49.46.3
150.140.12.200
219.237.213.239
222.35.143.63
190.154.136.164
61.187.64.8
78.111.76.250
117.28.224.71
12.26.134.77
68.152.76.202
82.135.146.116
76.74.149.82
41.246.127.0
216.65.19.140
189.20.255.10
66.98.214.20

Ще се радвам всеки ,който го валнува тази тема да обмени опит как е процедирал и имало ли е ефект.Аз лично не съм окрепил чак толкова машината ,която ползвам но се обеждавам ,че трябва да го направя.  ;D


edit by neter: Редакция по името на темата. Редакциите в следващите постове са свързани със същото.
« Последна редакция: Feb 17, 2009, 00:54 от neter »
Активен

arda_kj

  • Участник
  • *****
  • Публикации: 631
  • Distribution: Debian Sid/Unstable; Ubuntu 12.04
  • Window Manager: Gnome/KDE
    • Профил
Re: ssh атаки
« Отговор #1 -: Feb 16, 2009, 20:23 »
Аз не съм имал подобни неприятности.

Това, което правя е да пускам ssh да слуша на друг порт, различен от подразбиращия се 22, който всички знаят :). Така ако някой иска да се домогне до машината през ssh трябва първо да си загуби времето да открива на кой порт слуша пък после нека се мъчи да се домогва. Само, че в допълнение на сменения порт го дебне още една защита - програма (portsentry) която слуша на добре познатите портове и се прави на въпросните услуги (ако няма друга програма която да ги заеме), примерно слуша на портове 21/22/23/80/6000 и т.н. и ако нещо сканира или направи опит за свързване повече от два пъти (това може да се настрои) блокира даденото IP, което се опитала да се свърже. По този начин "апетитните" портове (които всеки, който иска да краква нещо сканира задължително) се явяват клопка и примамка, която използвам, за да хвана евентуални опити на зложелатели да се опитват да правят каквото и да било и по-този начин ги блокирам. Програмата си има лог, в който се описват засечените и блокирани IP. Хубавото е, че програмата не заема почти никакви ресурси. Хаха много хитро, а?
И третото ограничение, което може евентуално да се направи е да листнеш от какъв/какви IP може да се свързват с твоята машина отвън през ssh. Тогава вече не знам какво трябва да стане, за да ти хакнат машината през ssh.

Това е, което аз ползвам. Трето в момента съм го изключил, т.к. машината ми не е сървър и не ми трябва чак такива превантивни мерки.
« Последна редакция: Feb 16, 2009, 22:10 от arda_kj »
Активен

Debian Sid/Unstable; Ubuntu 12.04
"За да открием истината, е нужно поне веднъж в живота си да подложим всичко на съмнение" - Р. Декарт

tarator

  • Участник
  • *****
  • Публикации: 849
    • Профил
Re: ssh атаки
« Отговор #2 -: Feb 16, 2009, 20:38 »
Правят такива неща, но изобщо не им обръщам внимание. Като имам добра пароля не виждам как биха могли да я познаят. Ако ssh има бъг, определено няма да съм в първите десетина хиляди в списъка за хакване.
« Последна редакция: Feb 17, 2009, 00:54 от neter »
Активен

A gentleman is one who is never rude unintentionally. - Noel Coward

wfw

  • Участник
  • *****
  • Публикации: 247
  • Distribution: Debian
  • Window Manager: none
    • Профил
Re: ssh атаки
« Отговор #3 -: Feb 16, 2009, 21:48 »
в допълнение на tarator мога да добавя, че можеш да ограничиш поне по няколко начина разрешените IP-та, които ползват SSH.

1) можеш да добавиш запис в hosts.allow
2) по спомен можеш да добавиш AllowUsers в sshd_config, така можеш да ограничиш кой точно потребител от кое IP да влиза.

виждал съм сървър, който е хакнат с brute force нa root акаунта със 8 буквено-цифрова парола, така че е добре паролата да е поне малко случайна.

можеш да забраниш и root да влиза директно през ssh.

ако пък си тарикат, можеш да си генерираш една двойка ключове и да забраниш изцяло логването на сървъра с user/pass, като разчиташ само на твоя ключ.

има всякакви закачки, кои полезни, кои не толкова...  [_]3
« Последна редакция: Feb 17, 2009, 00:54 от neter »
Активен

arda_kj

  • Участник
  • *****
  • Публикации: 631
  • Distribution: Debian Sid/Unstable; Ubuntu 12.04
  • Window Manager: Gnome/KDE
    • Профил
Re: ssh атаки
« Отговор #4 -: Feb 16, 2009, 22:09 »
Мда, wfw е прав - задължително забраняване на root да се логва, така освен парола, пишман хакера трябва да гадае и потребителското ти име, тогава вече става много трудно да се пробие ако ssh няма някакъв сериозен бъг. Ако ти трябва root достъп, след логване с обикновен потребител изпълняваш su и пей сърце. То затова е опасно да се разреши на root да има право на логване, тогава просто трябва да се разгадае само паролата му (понеже всеки знае, че има потребител root), което улеснява прекалено много въпросния хакер. Отдруга страна разгадаването на неизвестно потребителско име с неизвестна парола е почти невъзможно (дори ако паролата е по-малка от 8 букви).

ПС: Модератора ако може да оправи заглавието, че това shh боде очите.
Активен

Debian Sid/Unstable; Ubuntu 12.04
"За да открием истината, е нужно поне веднъж в живота си да подложим всичко на съмнение" - Р. Декарт

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: ssh атаки
« Отговор #5 -: Feb 16, 2009, 22:16 »
Това е относително безобидно. Има два ефективни мерки по въпроса - забраняваш password автентикацията и караш само на ключове. Това прави невъзможна тази атака, обаче създава една система от доверени хостове, която може да е опасна, примерно хакват ти машината и след като имат ключове за други машини, хакват другите машини :)

Другата мярка, която на мене много повече ми допада - просто нямам малоумни пароли и имам много малко на брой системни акаунти. Нека си се пробват. Значи всичко си има идея, идеята не е някой да строши една година, за да ми налучка паролата, идеята е ако има лесни пароли, да се възползват. Доколкото съм запознат с ssh bruteforce скенерите, те хващат някакъв range от адреси и пробват сравнително ограничен брой потребители/пароли.

От друга страна бях гледал в един хахорски форум резултатът от изпълнението на подобна глупост върху един /22 блок от адреси - бяха нацелили поне 10-ина акаунта. Ако успяваемостта е такава, лоша работа значи..
« Последна редакция: Feb 17, 2009, 00:55 от neter »
Активен

"Knowledge is power" - France is Bacon

h7d8

  • Участник
  • *****
  • Публикации: 197
  • Distribution: Debian;Ubuntu
  • Window Manager: Gnome
    • Профил
Re: ssh атаки
« Отговор #6 -: Feb 16, 2009, 23:21 »
Лично моите логове са пълни с какви ли не потребители.Главната причина поради ,която реших да пиша е точно тази.Преди време бях изчел доста материал отностно това ,но не направих нищо понеже нямах никакви конекции към *22 и не считах ,че е нужно това.Но в рамките на 2-3 дни имаше 30 и нагоре различни адреси ,които са пробвали брутефорс и незнам още какво.Е явно паролата държи на напана ,но сега ще седна и ще реализирам няколко стъпки по сигурността.

@arda_kj да приемем ,че нормално работещ уеб сървър си слуша на порт 80 и въпросната програма е пусната да обслужва именно него.Какво ще стане ,когато даден потребител пробва да се закачи към машината?

@arda_kj оп :) отговорих си сам.  [_]3
« Последна редакция: Feb 17, 2009, 00:55 от neter »
Активен

VladSun

  • Участник
  • *****
  • Публикации: 2166
    • Профил
Re: ssh атаки
« Отговор #7 -: Feb 16, 2009, 23:34 »
Имам някакви разработки по темата:
http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=385185851
http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=374186810
http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=393512859

В последната статия съм добавил и ограничение за достъп до услугите (или само някои от тях) само от български мрежови префикси, което де факто ще отреже 99,9% от атакуващите.

ПП: Сега като ги гледам, май е по-удачно да се използва само hashlimit match-a, вместо recent match-a.
« Последна редакция: Feb 17, 2009, 00:55 от neter »
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

arda_kj

  • Участник
  • *****
  • Публикации: 631
  • Distribution: Debian Sid/Unstable; Ubuntu 12.04
  • Window Manager: Gnome/KDE
    • Профил
Re: ssh атаки
« Отговор #8 -: Feb 17, 2009, 00:39 »
Ще погледна на VladSun линковете, но само да вметна нещо. Добре това ssh няма ли опция, при която при неуспешен опит за логин да има някакво време, през което да е невъзможен следващ логин, примерно 30 секунди. При такава една ситуация bruteforce и dictionary атаката стават ужасно бавни и следователни ужасно неефективни, дори да имаме слаби потребителски имена и пароли.
Второ, което ми идва на ум е ако може да се направи при N на брой грешни опита за логин, забрана на даденото IP за определен период от време - тогава отново всякакви опити за атака базирани на bruteforce, dictionary и т.н. стават почти невъзможни.

Иначе не липсват в логовете на portsentry ентусиасти на порт 22 (на който няма нищо, т.е. има ама капанче за хахори), аз съм го направил на два опита за връзка да отива в блокираните IP-та. Пък те нека се мъчат на кой порт слуша ssh, после обаче както казах ги чака други енигми :).
« Последна редакция: Feb 17, 2009, 00:55 от neter »
Активен

Debian Sid/Unstable; Ubuntu 12.04
"За да открием истината, е нужно поне веднъж в живота си да подложим всичко на съмнение" - Р. Декарт

h7d8

  • Участник
  • *****
  • Публикации: 197
  • Distribution: Debian;Ubuntu
  • Window Manager: Gnome
    • Профил
Re: ssh атаки
« Отговор #9 -: Feb 17, 2009, 02:19 »
Ще погледна на VladSun линковете, но само да вметна нещо. Добре това ssh няма ли опция, при която при неуспешен опит за логин да има някакво време, през което да е невъзможен следващ логин, примерно 30 секунди. При такава една ситуация bruteforce и dictionary атаката стават ужасно бавни и следователни ужасно неефективни, дори да имаме слаби потребителски имена и пароли.
Второ, което ми идва на ум е ако може да се направи при N на брой грешни опита за логин, забрана на даденото IP за определен период от време - тогава отново всякакви опити за атака базирани на bruteforce, dictionary и т.н. стават почти невъзможни.

Иначе не липсват в логовете на portsentry ентусиасти на порт 22 (на който няма нищо, т.е. има ама капанче за хахори), аз съм го направил на два опита за връзка да отива в блокираните IP-та. Пък те нека се мъчат на кой порт слуша ssh, после обаче както казах ги чака други енигми :).

Има разбирасе.Това се осъществава с #MaxStartups 10:30:60 .Доспа ми се, утре мисля да постна целия процес ,който преминах да подсигуря достъпа до машината.  ::)
« Последна редакция: Feb 17, 2009, 02:30 от h7d8 »
Активен

tarator

  • Участник
  • *****
  • Публикации: 849
    • Профил
Re: ssh атаки
« Отговор #10 -: Feb 17, 2009, 03:34 »
Може и да не го правиш, и без това линуксаджиите са нездравословно параноични :)
Активен

A gentleman is one who is never rude unintentionally. - Noel Coward

strandvata

  • Участник
  • *****
  • Публикации: 28
    • Профил
Re: ssh атаки
« Отговор #11 -: Feb 17, 2009, 08:28 »
Може да се използва и DenyHosts. Вършеше работа, но не знам дали още се разработва:
http://denyhosts.sourceforge.net/
Активен

ANTIADMIN

  • Участник
  • *****
  • Публикации: 660
  • Distribution: Windows XP Pro latest updates
  • ANTIADMIN
    • Профил
Re: ssh атаки
« Отговор #12 -: Feb 17, 2009, 09:25 »
Имам някакви разработки по темата:

на военните ;D Слушай милен4е2, ползвай ключове, трябва да си адски малоумен или да пишеш код за кернела, за да ползваш пароли с ssh. Не ти трябват никакви допълнителни програми, щото колкото повече работи наблъскаш, толкове по-уязвим ставаш, а реално те няма да ти повишат сигурността до непробиваемост. ТСП враппер не става за защита, това е се едно да влизаш с ХП файъруола в нет, ИП не е направен за аутентификация, но това не пречи на разни хора да си мислят че е... айде стига съм се правил на разбирач.
Ако имаш време, може да му направиш един куркапан ;D ДА го пуснеш в някой jail и да му гледаш сеира или да пуснеш контра и ако е зомби поне да кажеш на потърпевшия и т.н. Нека да се изкажат нинджите на макаджията и тех, стига са се забили по тея порносайтове ;D Това последното го прави, ако си наясно с нещата, щото като си го вкараш сам най-боли ;D
Активен

zeridon

  • Killmode enabled
  • Administrator
  • Участник
  • *****
  • Публикации: 1398
  • Distribution: Debian/Ubuntu
  • Window Manager: console/Gnome
  • BOfH
    • Профил
    • WWW
Re: ssh атаки
« Отговор #13 -: Feb 17, 2009, 11:01 »
Е дискусията е покрила всички мерки но да спомена моята предпочитана реализация.

1) Защитата трябва да е на нива и да покрива колкото се може/знае повече проблеми/пропуски/забраванки
2) Логовете са за четене ... не за красота
3) Какво ползвам

Относително проста и бърза комбинация
 * root не може да се логва отдалечено а само на конзола
 * паролите ми са случайни
 * за другите потребители по машините има cracklib и специален списък събран от script kiddie-та
 * използвам denyhosts със доста консервативни настройки, без whitelisting и с малко blacklisting и естествено синхронизация с централният им сървър
 * на ssh може да се логнеш само със ключ и то само от определени адреси (което води до малки неудобства тук таме ама се преживява)
 * логовете се препарсват автоматично от logwatch и се пращат на няколко места за преглед
 * имам мониторинг за натоварване на машина и достъпност на услугите.

Като цяло това е защитата и до момента работи много добре. Наложи се да я имплементирам след като един коадмин беше слагал бинд и не му беше махнал шела та доста грозно ми бяха натаковали машинката. Не я бяха изрутили ама ...

Бъдещи реализации:
 * собствен сървър за синхронизация на denyhosts ама нещо нямам време за reverse engineering на протокола им на синхронизация
 * denyhosts на втората машина в рейнджа от адреси дето се намирам
 * виртуална машина със слаби пароли на първият адрес от рейнджа - това го имам на едно място но трябва да го автоматизирам малко. Идеята и е да събира богатствата на script kiddie-тата (най вече списъците) и да си ги ползвам аз (cracklib, статистики, ботчета, C&C сървъри и други такива)
Активен

Внмимавай имам клещи за кабел
http://www.netsecad.com/
http://theregister.co.uk/odds/bofh/

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: ssh атаки
« Отговор #14 -: Feb 17, 2009, 13:29 »
Порче, мене ми се вижда малко малоумно да chroot-ваш ssh демона :)

Тва е...ъъъъм все едно да си инсталираш една клетка в антрето, така че когато някой разбие входната врата, да не може да ти ходи по стаите. Лошото е и че ти когато си я отключиш, също ще се озовеш в клетката и няма да си стигнеш до дневната например :)

Активен

"Knowledge is power" - France is Bacon