LINUX.ORG.RU
решено ФорумGeneral

как защищаетесь от ssh ботов?


3

1

привет.

глянул в /var/log/auth.log, и немножко офегел. 

Jan 12 13:53:19 xxx sshd[9976]: pam_unix(sshd:auth): check pass; user unknown
Jan 12 13:53:19 xxx sshd[9976]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=metrogroupcorp.com
Jan 12 13:53:21 xxx sshd[9976]: Failed password for invalid user kevin from 69.66.200.49 port 49234 ssh2
Jan 12 13:53:21 xxx sshd[9976]: Received disconnect from 69.66.200.49: 11: Bye Bye [preauth]
Jan 12 13:53:22 xxx sshd[9978]: Invalid user khoi from 69.66.200.49
Jan 12 13:53:22 xxx sshd[9978]: input_userauth_request: invalid user khoi [preauth]
Jan 12 13:53:22 xxx sshd[9978]: pam_unix(sshd:auth): check pass; user unknown
Jan 12 13:53:22 xxx sshd[9978]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=metrogroupcorp.com
Jan 12 13:53:25 xxx sshd[9978]: Failed password for invalid user khoi from 69.66.200.49 port 47995 ssh2
Jan 12 13:53:25 xxx sshd[9978]: Received disconnect from 69.66.200.49: 11: Bye Bye [preauth]
Jan 12 13:53:27 xxx sshd[9980]: Invalid user khuong from 69.66.200.49
Jan 12 13:53:27 xxx sshd[9980]: input_userauth_request: invalid user khuong [preauth]
Jan 12 13:53:27 xxx sshd[9980]: pam_unix(sshd:auth): check pass; user unknown
Jan 12 13:53:27 xxx sshd[9980]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=metrogroupcorp.com
и такого дела, мегабайт 30ть подряд. интенсивность удивляет.

нужно ли от подобного как-то защищаться(кроме как регулярной сменной паролей)? и если нужно, то как? возможно ли именно для sshd, добавить этот IP в черный список?

благодарен.

★★★
Отдельный keyword для оверлея
Поведение <Enter> на цифровой клавиатуре

Ответ на: комментарий от wlan

первесить ссш на кастомный порт

два чая этому господину

daemonpnz ★★★★★
()
Ответ на: комментарий от wlan

первесить ссш на кастомный порт.

Боты умные пошли, не спасает.

Black_Shadow ★★★★★
()
Ответ на: комментарий от wlan

Only rsa-key аутентификация.

а как такое делается?

поставить fail2ban и первесить ссш на кастомный порт.

а существует ли какой-то ман для этого процесса? или всемогущий гугл в помощь?

спасибо.

niXman ★★★
() автор топика

Первый этап - против тупых ботов - перевесить демон на другой порт (вторая или третья раскомментированная строка в /etc/ssh/sshd_config); второй - denyhosts или fail2ban.

leave ★★★★★
()

Перенос на другой порт — это глупость.

1. PermitRootLogin without-password

2. fail2ban или если bsd — встроенные возможности pf (пример могу привести)

beastie ★★★★★
()
Ответ на: комментарий от beastie

fail2ban

установил. для убунты, настройки по умолчанию включают только работу с ssh. что собственно и требовалось.

всем спасибо. вопрос закрыт.

niXman ★★★
() автор топика
Ответ на: комментарий от beastie

Перенос на другой порт — это глупость.

Однако таки помогает.

На одном сервере ломились постоянно, а после перевешивания перестали лезть вообще. Естественно, это решение против примитивных ботов, а не против взлома как такового.

risenshnobel ★★★
()

fail2ban.
И отключение парольной аутефикации.

tazhate ★★★★★
()

и если нужно, то как?

iptables recent вполне достаточно, если не хочется перекрывать доступ по ssh с произвольного хоста.

AS ★★★★★
()

вешать на порт выше 1024-го - у меня как-то висел на 1212 - все боты сходу отпали
fail2ban
ну и, естессно, запретить руту логиниться

megabaks ★★★★
()

Зачем от них защищаться?

qumo
()
Ответ на: комментарий от trancefer

Приведу, как только доберусь до дома. Это может быть завтра. Но я не забуду.

beastie ★★★★★
()

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --rttl --name SSH -j DROP

float
()
Ответ на: комментарий от float 
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 --rttl --name SSH -j DROP
float
()
Ответ на: комментарий от trancefer 
table <bruteforce> persist

block in quick on egress from <bruteforce>

pass in on egress proto tcp to port ssh keep state \
        (max-src-conn-rate 5/15, overload <bruteforce> flush global)
beastie ★★★★★
()

У меня ssh дает 3 попытки ввода пароля за раз. Брутеров банить можно как-то так. 

-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 300000 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP

Итого, если сам облажался, пойду покурю и спокойненько войду после перекура. А брутеры в бане.

А можно замутить порт кнокер. 

-A INPUT -p icmp --icmp-type 8 -m length --length 153 -m recent --name pk --rsource --set -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 154 -m recent --name pk --rsource --update --hitcount 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 155 -m recent --name pk --rsource --update --hitcount 2 -j ACCEPT
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck --hitcount 3 -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP
Для того чтобы открыть 22 порт достаточно и необходимо 
ping -s 125 -c 1 $server_ip
ping -s 126 -c 1 $server_ip
ping -s 127 -c 1 $server_ip

kombrig ★★★
()
Последнее исправление: kombrig (всего исправлений: 2)

Ещё можно давать доступ конкретному IP к SSH только при получении специально сформированного пакета на определённый порт. Но это извращение, конечно.

Sadler ★★★
()
Ответ на: комментарий от wlan

Only rsa-key аутентификация.

_Можно_ поставить fail2ban

А мой комментарий относился к первой части твоего.

leave ★★★★★
()
Ответ на: комментарий от niXman

Only rsa-key аутентификация.

а как такое делается?

https://help.ubuntu.com/community/SSH/OpenSSH/Keys

Ты всегда можешь погуглить русский вариант если не можешь в английский. Ну и плюс PasswordAuth no, чтобы по паролям не пускало. Но тут будь осторожен, сначала проверь что работает, потом выключай парольную ;)

wlan ★★
()
Ответ на: комментарий от Harald

Инсталят на поломанную тачку свой софт и делают свои нехорошие дела. Я так уже попадал, когда поставил достаточно простой пасс на временную замену сервака.

Deleted
()
Ответ на: комментарий от Harald

Мне ставили какй-то gosh. Как я понял брутер ссш. Плюс ирц-бота.

На хетцнере вообще ужасно с этим делом.

P.S. эти файлы у меня до сих пор в песочнице валяются. Никак руки поковырять не дойдут. Могу скинуть.

wlan ★★
()

тред не читай@порт меняй

int13h ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Отдельный keyword для оверлея
General
Поведение <Enter> на цифровой клавиатуре