LINUX.ORG.RU

Случайно обнаружил у себя брутфорсер


0

2

Только что заметил, что резко уменьшилась «скорость интернета», оказалось больше тысячи процессов типа «ESTABLISHED 27111/./ssh-brute» - что-то сканировало 22-е порты локалки моего провайдера.
Ещё я обнаружил два левых процесса из-под юзера postgres и одно левое подключение даже из под рута (под которым я не сижу) на какой-то румынский ip (89.165.180.208)
Потом я обнаружил файл /var/lib/postgres/sshbrute.tgz - который 12 декабря (примерно тогда я обновлял postgres), но в пакетах из дистрибутива не нашлось ничего похожего на брутфорсер. В логах тоже ничего конкретного, кроме

Dec 18 05:47:43 sshd[17755]: reverse mapping checking getaddrinfo for 89-165-180-208.next-gen.ro [89.165.180.208] failed - POSSIBLE BREAK-IN ATTEMPT!

С таким раньше не сталкивался, в интернете ничего конкретного нет. Стоит ли забить на это, или надо сообщить моему провайдеру и тому, откуда ко мне подключались?

★★★★★

а что говорят rkhunter и chkrootkit?

coldy ★★
()
Ответ на: комментарий от MaZy

Арч, обновляюсь часто. Из AUR только mysql-workbench, ещё был неправильно настроен роутер, в нём я когда-то настроил этот комп, как «dmz-host», да так и оставил.

GblGbl ★★★★★
() автор топика

Какой шелл у юзера postgres в /etc/passwd?

ValdikSS ★★★★★
()

провайдеру пофиг

почисти мусор и пользуйся дальше

версию ядра и glibc покажи еще

xtraeft ★★☆☆
()

У postgres - user:/var/lib/postgres:/bin/bash Ядро - 3.1.5-1-ARCH #1 SMP PREEMPT x86_64 Glibc - glibc 2.14.1-2

GblGbl ★★★★★
() автор топика

Ух ты. Ну, только переустановка.

Я в этом плане параноик. Вчера поставил систему и она постоянно просила ввести пароль root для чего-то-там прокси, я жал отмену, а через минуту снова. Уверен, что это всё создатели дистрибутива дров наломали, но вдруг это был вирус для SuSE.

ZenitharChampion ★★★★★
()
Ответ на: комментарий от MikeDM

Не postgres, но настолько же простой. Я решил, что в этом ничего страшного, так как постгрес у меня лишь для разработки стоит и ничего серьёзного не держит. Надо будет погуглить, как запретить подключения по ssh всем, кроме моего юзера (он с нормальным паролём)

GblGbl ★★★★★
() автор топика
Ответ на: комментарий от GblGbl

есть такая штука как knockd и openvpn

держать сейчас открытым 22 порт это моветон. да и можно в конфиге ссш демона четко указать список пользователей которым разрешен коннект.

MikeDM ★★★★★
()
Ответ на: комментарий от GblGbl

1. для всех юзверей кроме рабочих (root, твой) shell должен быть none.
2. Наружу открыть только openvpn (ключик лучше подлиннее и шифровать aes-ом) на непривелегированном порту
3. ssh только через vpn и на нестандартный порт.

kombrig ★★★
()
Ответ на: комментарий от kombrig

1. для всех юзверей кроме рабочих (root, твой) shell должен быть none.

Руту тоже «none» для администрирования есть «su».

segfault ★★★★★
()
Ответ на: комментарий от kombrig

Ну у остальных юзеров шелл был /bin/false. А vpn - иногда и с мобильников приходится подключаться

GblGbl ★★★★★
() автор топика
Ответ на: комментарий от GblGbl

Ведроид умеет openvpn (правда, в ядро надо вкомпилить tun/tap драйвер)

kombrig ★★★
()
Ответ на: комментарий от segfault

Был прикол - слетел админский пользователь на домашнем сервачке (ССЗБ, но не суть) IP-KVM как сам понимаешь дома нет. Т.е. по сети восстановить систему невозможно. Пришлось машинку снимать с антресоли и бутить в сингл моде для восстановления управляемости.

kombrig ★★★
()
Ответ на: комментарий от kombrig

Ну так это форс-мажор, причем, очень редкий.

segfault ★★★★★
()

Купи домой роутер.

shahid ★★★★★
()

Пользователь postgres с дефолтным паролем?

vada ★★★★★
()
Ответ на: комментарий от anonymous

Да не в этом дело - это надо лезть на антресоль, доставать, подрубать монитор, клаву.

kombrig ★★★
()
Ответ на: комментарий от Hoodoo

Если вопрос о безопасности параноя лишней не бывает.

kombrig ★★★
()
Ответ на: комментарий от Deleted

su же просто пользователя меняет, считай релогин.

Но при этом можно явно задать шелл. Если sudo стоит настроен, это, конечно, хорошо. Но дефолт все-таки su.

segfault ★★★★★
()
24 января 2012 г.
Ответ на: комментарий от kombrig

А ssh с ключем уже не канает? Openvpn хорош, если нужен полноценный доступ к локалке, а если нужно иметь возможность использовать пару сервисов, помоему ssh с ключем+проброс портов (через ssh разумеется) за глаза.

CFA
()

Чисти машину и меняй пароли.

craftwr
()

Нефиг пользоваться левыми репозиториями. Всё используемое ПО желательно компилировать самому, а не брать у незнакомого дядечки.

iZEN ★★★★★
()

Может просто выпилишь гражданина по этому IP через iptables?

vertexua ★★★★★
()

Забыл пометить, как решённую. Косяк был в том, что я использовал простой словарный пароль для postgres и не закрыл DMZ на роутере.

GblGbl ★★★★★
() автор топика
Ответ на: комментарий от iZEN

как же, помню, была такая примочка - всё компилялось, а потом пач Бармина делала - там сервант с сорцами прохачили и по приколу туда это вставили. ты уверен что тебе по силам весь код просмотреть?;)

mumpster ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.