Possible Break-In Attempt в auth.log: так ли это страшно?

После того, как я опубликовал свой ip-адрес на ЛОРе, у меня все логи забиты такими сообщениями. Но, судя по всему, никто не взломал. Подозрительной сетевой активности нет.

IP не мой, ему уже 100 лет, но до меня портов открыто не было. Нигде адрес не светил.

Добро пожаловать в интернет. Тут боты брутят.

Кто это вообще?

Вирусня.

Стоит ли понадеяться на надёжность пароля и don't give a fuck?

Если пароль сложнее 123456 волноваться не стОит.

Зачем им мой бедный сервер?

Друзей ищут.

Если всё же надо от них защищаться, то как?

Повесь ссх на нестандартный порт.

Каких строк в auth.log всё же стоит бояться?

sshd[1628]: pam_unix(sshd:session): session opened for user root by (uid=0)

Ну и последний вопрос параноика: что делать, если они уже внутри и почистили строки об успешной авторизации?

mkfs, накатка бэкапа.

mkfs, накатка бэкапа

А просто пароль сменит не вариант?

Если тебя уже поломали, смена пароля не поможет.

Разархивировал старые логи. Там ещё: telemedia-smb-078.184.183.122.airtelbroadband.in, 201-41-214-170.fnsce303.ipd.brasiltelecom.net.br, orange.bce.uniroma1.it (151.100.31.107), 32.f1.374a.static.theplanet.com (74.55.241.50), 120-167-250-212.static.virginmedia.com, hosted-by.hosthatch.com (188.122.92.210), 84.79.3.103.iconpln.net.id (опять задом наперёд), hsle-171.dedicated.hostalia.com (82.194.76.61), pc0.zz.ha.cn (218.28.49.62), 176.53.127.245, 73-116-60-69.serverpronto.com (задом наперёд).

И ещё такие:

sshd[PID]: Address 109.123.66.234 maps to server3.10degrees.co.uk, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!

Это всё с марта. Я это вытаскивал вручную (grep -v), можно и автоматизировать, если объём больше. Если есть какие-то чёрные списки этих ботов (это же боты или китайцы, насколько я понял), можете добавить.

А fail2ban в этой ситуации не поможет?

Если всё же надо от них защищаться,

Надо. Это лишняя нагрузка на процессор, лишний трафик. Если заявится несколько штук одновременно, может быть заметно.

то как?

ssh прикрыть файрволом. Если это нельзя по каким-то причинам, то как-то так:
http://wiki.opennet.ru/Iptables_-m_recent

В таком случае строки

sshd[1628]: pam_unix(sshd:session): session opened for user root by (uid=0)

тоже не будет. Руткит должен вообще все следы затирать, да? Пароли у меня в стиле iel_ei3#iY, я спокоен.

Если есть какие-то чёрные списки этих ботов

Разумнее использовать белые списки, если ты не в китае, китаю с твоим ssh нечего делать.

Кстати, я никогда не логинюсь от рута сразу, всегда использую sudo (который спрашивает rootpw), так что я легко замечу, если кто-то где-то.

По хорошему, лoкально логи не хранятся.
И это был просто пример.

ставь fail2ban, и проблема решится

# pacman -S community/fail2ban

https://wiki.archlinux.org/index.php/Fail2ban

Fail2ban - это инструмент, который отслеживает в log-файлах попытки обратится к сервисам, таким, как SSH, FTP, SMTP, Apache и другим, и если находит постоянно повторяющиеся неудачные попытки с одного и того же IP-адреса или хоста, fail2ban блокирует дальнейшие попытки с этого IP-адреса/хоста.

Спасибо, нашёл в дебиановских репах.

Надо. Это лишняя нагрузка на процессор, лишний трафик. Если заявится несколько штук одновременно, может быть заметно.

если ты про роутер - может и надо.

ssh прикрыть файрволом. Если это нельзя по каким-то причинам, то как-то так:

http://wiki.opennet.ru/Iptables_-m_recent

сомнительное удовольствие. Не проще-ли сменить порт?

Есть сервер, с ssh на 22.

почему именно 22? какой в этом смысл?

Пароли у меня убер-сложные, как у рута, так и у «нерута».

у настоящих параноиков вообще нет никаких паролей. Есть только ключи.

Кто это вообще?

именно это - без понятия. Но видел маздайные вирусы с такой функциональностью. Наверное они, родимые...

Поднимаешь авторизацию по SSH-ключам, запрещаешь в конфиге sshd авторизацию по паролям. Все.

Можно конечно еще поиграться с fail2ban, но после вышеописанных действий не вижу в нем никакого смысла.

Не проще-ли сменить порт?

Нет, так как и там найдут. Если захотят.

Поднимаешь авторизацию по SSH-ключам, запрещаешь в конфиге sshd авторизацию по паролям. Все.

Можно конечно еще поиграться с fail2ban, но после вышеописанных действий не вижу в нем никакого смысла.

+100500. Ещё можно root запретить.

Нет, так как и там найдут. Если захотят.

да. подними сервер и почитай лог. никому ты не нужен, если порт не 22й.а если 22й - нужен. Причём долбится будут именно на root учётку.

А что если запретить логин от рута и говорить, что нет такого пользователя? Это можно как-то сделать одним только ssh?

А что если запретить логин от рута и говорить, что нет такого пользователя? Это можно как-то сделать одним только ssh?

оно говорит «пароль неверный», даже если он 123. man sshd_config

    PermitRootLogin
             Specifies whether root can log in using ssh(1).  The argument must be “yes”, “without-password”,
             “forced-commands-only”, or “no”.  The default is “yes”.

             If this option is set to “without-password”, password authentication is disabled for root.

             If this option is set to “forced-commands-only”, root login with public key authentication will be
             allowed, but only if the command option has been specified (which may be useful for taking remote
             backups even if root login is normally not allowed).  All other authentication methods are disabled
             for root.

             If this option is set to “no”, root is not allowed to log in.

если порт не 22й.а если 22й - нужен

И вот блин надо помнить, куда я ssh повесил. Оно мне надо ? :-)

Причём долбится будут именно на root учётку.

нет. Совсем не только на root.

AS

И вот блин надо помнить, куда я ssh повесил. Оно мне надо ? :-)

man ssh_config

вбиваешь туда все нужные параметры входа, а потом просто:

ssh компютер_в_гостинной

всё очень просто, на самом-то деле...

нет. Совсем не только на root.

не знаю, не встречал другого. А куда ещё долбятся? На всякие adm и прочие daemon что-ли? Дак там логином /bin/false по дефолту, и сколько запретного нужно сожрать, что-бы этот дефолт изменить? Кстати:

     AllowUsers
             This keyword can be followed by a list of user name patterns, separated by spaces.  If specified,
             login is allowed only for user names that match one of the patterns.  Only user names are valid; a
             numerical user ID is not recognized.  By default, login is allowed for all users.  If the pattern
             takes the form USER@HOST then USER and HOST are separately checked, restricting logins to particular
             users from particular hosts.  The allow/deny directives are processed in the following order:
             DenyUsers, AllowUsers, DenyGroups, and finally AllowGroups.

             See PATTERNS in ssh_config(5) for more information on patterns.

А что безопаснее
1. fail2ban + нестандартный порт ssh + port knocking + авторизация по ключам + запрет логиниться руту по ssh + ограничить подключение ssh по ip
2. отключить доступ ssh изв инета, поднять openvpn и логиниться только через openvpn

ssh компютер_в_гостинной

всё очень просто, на самом-то деле...

И так на всех компьютерах... Нет, варианта с iptables recent мне вполне хавтает. :-)

А куда ещё долбятся?

egrep «ssh.*UNKNOWN USER» /var/log/messages
Юзеров по словарю тоже перебирают. Думаю, если завести user с паролем user и test с паролем test, ждать сильно долго не придётся.

WiZ_Ed

А что безопаснее

3. отключить интернет. Сжечь напалмом ВСЕ сетевые.

А вообще вопрос не корректный, тут не в том дело, «что безопасней», а в том, «что нужно сделать».

И так на всех компьютерах... Нет, варианта с iptables recent мне вполне хавтает. :-)

дело ваше. Просто ssh_config нужен далеко не только для того, что-бы задать порты. Лично меня ломает вбивать ssh user76723x@172.30.12.7, даже без порта это слишком длинно. Ну и потом на некоторых хостах нужно сжатие, а на некоторых - не нужно, ну и конечно делать всем хостам один ключ - просто глупо, а вот указывать ещё и нужный ключ...

egrep "ssh.*UNKNOWN USER" /var/log/messages

пусто. говорил же...

Юзеров по словарю тоже перебирают. Думаю, если завести user с паролем user и test с паролем test, ждать сильно долго не придётся.

угу. это на 22ом порте. А на другом не заходят на такого...