LINUX.ORG.RU
ФорумSecurity

/var/log/auth


0

2

Проглядел лог аутентификации. 

Invalid user www from 180.29.146.216
Nov 27 10:28:26 debian sshd[3513]: pam_unix(sshd:auth): check pass; user unknown
Nov 27 10:28:26 debian sshd[3513]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=p11216-ipngn501hiraide.tochigi.oc$
Nov 27 10:28:28 debian sshd[3513]: Failed password for invalid user www from 180.29.146.216 port 46680 ssh2
Nov 27 10:28:31 debian sshd[3516]: Invalid user wwwrun from 180.29.146.216
Nov 27 10:28:31 debian sshd[3516]: pam_unix(sshd:auth): check pass; user unknown
Nov 27 10:28:31 debian sshd[3516]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=p11216-ipngn501hiraide.tochigi.oc$
Nov 27 10:28:33 debian sshd[3516]: Failed password for invalid user wwwrun from 180.29.146.216 port 47185 ssh2
Nov 27 10:28:37 debian sshd[3518]: Invalid user adam from 180.29.146.216
Nov 27 10:28:37 debian sshd[3518]: pam_unix(sshd:auth): check pass; user unknown
Nov 27 10:28:37 debian sshd[3518]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=p11216-ipngn501hiraide.tochigi.oc$
Nov 27 10:28:39 debian sshd[3518]: Failed password for invalid user adam from 180.29.146.216 port 47678 ssh2
Кто-то пытался получить доступ к моему компу? ip 180.29.146.216 японский whois пробейте. Че за?



Последнее исправление: Lenny (всего исправлений: 2)
Собрание Ukrainian Information Security Group #5
skype vs apparmor: no protocol specified

Ответ на: комментарий от silw

Я профан, втолкуй мне пожалуйста.

Lenny
() автор топика

поздравляю, вы узнали о том что в интернете существуют боты, которые пытаются подобрать простейшие пароли и войти по ssh, судя по их количеству, подобрать пароли где-то им все таки удается


варианты -
игнорировать
fail2ban
knockd
повесить sshd на другой порт


веб сервер поднимете, посмотрите тоже логи... ботов много

Sylvia ★★★★★
()
Ответ на: комментарий от Lenny

Лучше перевесить ssh на нестандартный порт, это снимет часть проблем.

Cancellor ★★★★☆
()
Ответ на: комментарий от Lenny

если они получают доступ, то устанавливают свои скрипты, которые могут рассылать спам и будут вот таким же образом ломиться к другим ища лазейку.

а вообще смотрите логи по поводу успешных входов
можно воспользоваться командой last

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

>поздравляю, вы узнали о том что в интернете существуют боты, которые пытаются подобрать простейшие пароли и войти по ssh, судя по их количеству, подобрать пароли где-то им все таки удается

нет, данный функционал встроен в очень многие windows-вирусы. Потому, либо ждать виндокопца, либо вешать ssh на другой порт, либо настраивать logrotate...

Для ТС: кроме порта запретите вход под рутом, запретите парольную идентификацию, а сами входите по ключу. Если входить не надо, лучше прибейте sshd вообще.

drBatty ★★
()
Ответ на: комментарий от anonymous

>В наши дни это даже дети знают. Даже женщины и дети. =)

anonymous
()

А у меня по ssh уже и не пытаются ломиться больше одного раза - все равно не получается:

Status for the jail: ssh |- filter | |- File list: /var/log/auth.log | |- Currently failed: 0 | `- Total failed: 63 `- action |- Currently banned: 0 | `- IP list: `- Total banned: 4

зато на вики ломятся:

Status for the jail: apache-suhosin |- filter | |- File list: /var/log/user.log | |- Currently failed: 0 | `- Total failed: 60 `- action |- Currently banned: 0 | `- IP list: `- Total banned: 44

Особо активных баню всей подсетью навсегда

YAR ★★★★★
()
Ответ на: комментарий от YAR

>Особо активных баню всей подсетью навсегда

это вы зря - в подсети могут быть совершенно разные люди. IP часто выдаются динамически.

Впрочем - дело ваше.

drBatty ★★
()
Ответ на: комментарий от drBatty

Это да, но обычно баню те страны, с которых вряд ли обычный человек будет заходить на целевой ресурс.

YAR ★★★★★
()

аутентификация через ключи поможет решить часть проблем.

irq
()

а где лежит такой лог в сусе 11.3? гугл кагбэ не знает....

andy_s
()
Ответ на: комментарий от Sylvia

last ничего не покажет, если сессия была открыта без входа в терминал (т.е. SSH клиент сразу давал выполнить какие-то конкретные команды). Лучше grep'ить auth.log на предмет сообщений «Accepted password».
Параноики могут сделать cron скрипт, постоянно прочёсывающий auth.log на предмет успешного входа с непредусмотренных хостов.

frozen_twilight ★★
()
Ответ на: комментарий от Lenny

Поменяли и не парьтесь больше насчёт сканов. В 99,9% случаев уже никто с улицы ломиться не будет, разве что целенаправленно найдут ваш изменённый порт с той или иной целью.

frozen_twilight ★★
()
Ответ на: комментарий от Sylvia

варианты -

Можно ещё iptables использовать для тех, кто брутфорсом балуется с одной машинки. Ну и, разумеется, ssh переключить с аутентификации по паролю на ключевую. Тогда можно будет забить на все эти попытки взлома. У меня так сделано.

HolyBoy
()

1. Сменить стандартный порт SSH.
2. Запретить вход по SSH от root'а и установить хороший пароль для пользователя.
3. Использовать SSH протокол только версии 2.

И вообще, авторизироваться только при помощи ключей.

Enoch
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Собрание Ukrainian Information Security Group #5
Security
skype vs apparmor: no protocol specified