Перекрыть доступ со всех китайских айпишников, в последнее время через китайские прокси лазит хрен знает кто.

Поставить и настроить fail2ban

И да, вместо DROP осилить TARPIT - так веселее :)

я уже плохо спать начал . чего им надо от простых смертных ?

TARPIT

вечерком разберусь . спасибо за инфу .

Стандартно — не пускай рута, ключ вместо пароля и нестандартный порт для ssh. От подобных китайцев защитит 100%.

чего им надо от простых смертных ?

Ботнеты, сэр.

P.S. Лол, понилюбам бояться

Apr 17 00:03:29 ns sshd[12048]: Invalid user fluffy from 60.249.78.253
Apr 17 00:03:29 ns sshd[12048]: input_userauth_request: invalid user fluffy [preauth]

P.P.S. Да, я не стал порт менять, забавно же.

Ботнеты, сэр.

ясно . китайцы , как выяснилось , нам не друзья .

fluffy

http://img1.wikia.nocookie.net/__cb20120311061118/mlpfanart/images/1/10/Fluff...
много же они хотят взломать , однако .

Святая наивность, их плотность больше по шарику, а чудоков на букву М по всему миру одинакого.

поддерживаю redgremlin: «PermitRootLogin no» и «Port <random_number>» в sshd_config

сделано с корень разрешения войти . а которой из 65535 портов указывать ? для перебора это не так уж и много .

китайцы , как выяснилось , нам не друзья

Ты думаешь так, как того хотят те, кто лазет под китайскими IPшниками. ;)

ок . буду иметь в_виду :-)

man libpam-google-autenticator

А еще и AllowUsers до кучи :)

Пофигу, боты не перебирают.

а которой из 65535 портов указывать ? для перебора это не так уж и много

У меня была такая же проблема, как у тебя (постоянно кто-то ломился). Изменил порт на другой - и тишина... :)

А еще и AllowUsers до кучи :)

В припадке паранойи я когда-то сделал вход только для гостевого пользователя (бесправного), от которого потом делал su к своему пользователю (с поддержкой X-forwarding'а), но потом понял, что мой localhost нафиг никому не нужен, и забил :)

Ну коль уж полезли править /etc/sshd_config то как говорится одним параметром больше, одним меньше - не так уж сложно прописать:

PermitRootLogin no
AllowUsers mega_admin

Это дополнит уверенность в безопасности ssh и укрепит сон :)

плюсую fail2ban

fail2ban
AllowUser
TARPIT

всем спасибо , ребята . пошел чинить .

Ну, если аутентификацию по ключу настроить, то фейлтубан не нужен. И порт можно не перевешивать (хотя, большинство бототы данный шаг отсечёт, так как они тупые).

# grep sshd.\*Failed /var/log/auth.log | wc -l
1406
# grep sshd.\*Failed /var/log/auth.log.0 | wc -l
2099

Это за три недели работы VDS, используемой для собственных нужд.

ясно . китайцы , как выяснилось , нам не друзья .

у русских ботнетов не меньше. Просто на Руси компьютеров с интернетом меньше, только в Москве и Питере. В остальных городах пока интернета нет(массово).

А разгадка проста: безусловно бесплатное ПО.

Святая наивность, их плотность больше по шарику, а чудоков на букву М по всему миру одинакого.

а как ещё использовать фотошоп, тем, у кого нет лишних 41 152,47 руб. ???

1. смени порт на рандом 1024..65534

2. сделай доступ ТОЛЬКО по ключу.

3. дальше можешь на ЛОРе весилится над школьниками, которые не осилили этих двух простых действий, и пытаются забанить весь Китай.

понилюбам бояться

Ага.

Очнитесь. В SSH на 22 порту ломятся до 3000 раз в сутки.

Либо поменяйте порт на нестандартный, либо ставьте knockd.

1. смени порт на рандом 1024..65534

Ничего, что при обновлении SSHD, пользователь компа может успеть занять непривилегированный порт?

Очнитесь

Вы могли бы сами воспользоваться своей же рекомендацией . проблема решена over9000 дней назад простым выпиливанием рута и 10-ти часовым баном за разовую ошибку при вводе пароля/логина .

Отказ от парольной защиты не помогает? Пусть ломятся, а мы будем ходить по ключу. Еще и руту логин по ссш запретить и точно железобетон.

УМВР

Раскроешь тему?

Ну разве ж это «постучали»? Скорее потерли замочную скважину :)

Помнится была для SSH некая прога, которая давала войти боту, записывая при этом все его действия в лог, а на попытки деструктивной активности выдавала чтото типа «Ха-ха-ха ... вас пустили чтобы записать ваши действия в журнал и не надо злоупотреблять гостеприимством». Ктото помнит как она называлась и может ктото реально юзал?

https://en.wikipedia.org/wiki/Kippo

А есть опыт использования? Интересно!

Можно проверить занят ли порт, сделав grep $port /etc/services.

Точно! не лишайте ботов надежды!

руту отключить логин по ssh! только ключ с парольной фразой к тому же, а то вдруг потеряем ключ то. ;) и пусть ломятся

Ты бы ещё апач наружу поднял и потом над записями в access.log стал удивляться.

на другой порт ssh перевесь, боты тупые, на другие порты не стучатся

Просто на Руси компьютеров с интернетом меньше, только в Москве и Питере.

Я что-то пропустил, украинские военные уже зашли в Москву?

внезапно: в мою дверь постучали

Главное не паниковать и не прыгать в окно. Возможно пришли проконсультироваться и спонсировать.

Сколько месяцев ты придумывал эту шутку?

Сколько месяцев ты придумывал эту шутку?

Ну, если аутентификацию по ключу настроить, то фейлтубан не нужен.

Я бы подзатыльник дал на месте хостера/провайдера/разное. Если ты этого бота не отрубишь, он:
а) создаст нагрузку на сервер;
б) создаст ненужный трафик.

Мало ? Согласен. А, теперь, умножь на 1000. Или на 1000000. Прикольнее смотрится ? Пара-тройка сотен ботов, работающих одновременно, заметно мешают серверу. С трафиком чуть проще, но это, тоже, только вопрос количества, как не сложно догадаться. Нет, можно сказать, пусть провайдер разбирается, но это как-то несовсем грамотно.

давно не некропостили, чё

б) создаст ненужный трафик.

И как провайдер определяет, нужный трафик или нет?

Какое провайдеру дело, кто и как ходит ко мне на впс, если я не нарушаю условия договора?

Клиент денежку заплатил, и пока не стал лимиты превышать, какое дело провайдеру до его трафика? Клиент превысил лимиты, давай переходи на другой тарифный план, или оплачивай потребление дополнительных ресурсов сверх тарифа, как удобней.

Я бы подзатыльник дал на месте хостера/провайдера/разное

Если бы мне провайдер написал что-нибудь в духе: «ой, вам на 22 порт долбится „ненужный трафик“, вам столько-то времени на устранение проблемы или мы вам отрубим что-нибудь нафик», то я бы начал не «проблему» устранять, а переносить данные к нормальному провайдеру serious business

а переносить данные к нормальному провайдеру

Это очень хорошо для провайдера, от которого уходит такой деятель, и очень плохо для того, к которому приходит. Поверь, помашут счастливо ручкой.

Если ты там не вип с оплатой $1000/мес; копеечные пользователи, если имеют такой подход, не нужны. :-)

Какой то у тебя совковый подход. Если провайдер дает мне линк с гарантированной шириной канала и определенным количеством трафика, то не его собачье дело, как я его буду тратить.

И ты преувеличиваешь о нагрузке и трафике.

Какой то у тебя совковый подход

Мы были так наивны? (комментарий)

Если провайдер дает мне линк с гарантированной шириной канала

Это или сказка, или таки серьёзный тариф. Гарантированной ширины за смешные деньги просто в принципе не бывает. Там обязательно написано «до». Просто прикинь цену оборудования, каналов и т.п., чтобы обеспечить _гарантированно_, скажем, 100м. По факту, это надо рассчитывать, что все твои пользователи начнут потреблять трафик одновременно, только в этом случае можно вести речь о гарантиях. Все остальные варианты требуют оговорок. По-этому, смешно читать о стомегабитных гарантиях, если пользователей, скажем, под сотню тысяч, а канал - 10GbE, скажем.

И ты преувеличиваешь о нагрузке и трафике.

Нет. Просто померяй и умножь. В принципе, до заметных проблем с трафиком я не доводил, а вот на рабочей станции с реальным IP и без f2b/-j DROP/разное некомфортно работать уже когда по тебе десяток ботов стучит. На себе проверял (рабочая станция с реальным IP). Celeron 3.20GHz.

Зато правда. Потре..ляди не нужны. Впрочем, это уже для толксов тема, не думаю, что стоит продолжать тут.