Увидеть пароли, которыми брутят твой SSH-сервер

17

3

Один из вариантов, который выбрал я — пропатчить OpenSSH (он используется в большинстве дистрибутивов).

Патч:

--- old/auth-passwd.c	2009-03-07
+++ new/auth-passwd.c	2013-01-30
@@ -86,6 +86,8 @@
 	static int expire_checked = 0;
 #endif
 
+	logit("auth_password: username: `%s' password: `%s'", authctxt->user, password);
+
 #ifndef HAVE_CYGWIN
 	if (pw->pw_uid == 0 && options.permit_root_login != PERMIT_YES)
 		ok = 0;

Теперь мы будем в /var/log/auth.log (или где там у вас пишутся логи ssh-сервака) видеть, чем именно нас пытаются «брутить» нехорошие дяденьки:

Jan 30 08:54:46 POWER sshd[12266]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 08:54:46 POWER sshd[12266]: auth_password: username: `root' password: `cacutza'
Jan 30 08:54:46 POWER sshd[12266]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 08:54:48 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:52 POWER sshd[12266]: auth_password: username: `root' password: `root2010'
Jan 30 08:54:53 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:53 POWER sshd[12266]: Connection closed by 190.24.10.11 [preauth]
Jan 30 08:54:53 POWER sshd[12266]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:05 POWER sshd[12275]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:06:05 POWER sshd[12275]: auth_password: username: `root' password: `cacutza'
Jan 30 09:06:06 POWER sshd[12275]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:08 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:08 POWER sshd[12275]: auth_password: username: `root' password: `handler'
Jan 30 09:06:10 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:10 POWER sshd[12275]: auth_password: username: `root' password: `centosadmin'
Jan 30 09:06:13 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:13 POWER sshd[12275]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:06:13 POWER sshd[12275]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:25 POWER sshd[12352]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:17:25 POWER sshd[12352]: auth_password: username: `root' password: `cacutza'
Jan 30 09:17:25 POWER sshd[12352]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:28 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:30 POWER sshd[12352]: auth_password: username: `root' password: `private'
Jan 30 09:17:33 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:35 POWER sshd[12352]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:17:35 POWER sshd[12352]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:46 POWER sshd[12406]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:28:46 POWER sshd[12406]: auth_password: username: `root' password: `cacutza'
Jan 30 09:28:46 POWER sshd[12406]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:48 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:51 POWER sshd[12406]: auth_password: username: `root' password: `root123'
Jan 30 09:28:53 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:56 POWER sshd[12406]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:28:56 POWER sshd[12406]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root

Простите, если боян.

Ссылка

←	Такое правило IPtables имеет право существовать ?

Бан ssh-ботов

→

← 1 2 3 4 →

Ответ на: комментарий от tazhate 31.01.13 15:09:02 MSK

при работе команды админов

Я ему про Фому, а он мне про Ерёму. Я не одмин. Уясни себе это с третьего-то раза.

поздравляю, вас всех можно увольнять.

Отлично! А новых сотрудников фирма попробует завести с Луны. Потому как люди на Земле везде одинаковые.

anonymous
(31.01.13 16:10:04 MSK)

Ответ на: комментарий от anonymous 31.01.13 16:10:04 MSK

Я ему про Фому, а он мне про Ерёму. Я не одмин. Уясни себе это с третьего-то раза.

И что? Как это связано с разговором то? :)

Отлично! А новых сотрудников фирма попробует завести с Луны. Потому как люди на Земле везде одинаковые.

Нет незаменяемых людей ;)

tazhate ★★★★★
(31.01.13 16:11:30 MSK)

Ответ на: комментарий от drBatty 31.01.13 11:22:58 MSK

Я правильно вас понял, что если на одном сервере крутится sendmail, cyrus, squid, vsftpd, sshd, то у одно пользователя для каждого демона должны быть разные пароли?

mky ★★★★★
(31.01.13 16:14:39 MSK)

Ответ на: комментарий от anonymous 31.01.13 16:10:04 MSK

Увольнять тут как раз инфобезопасников нужно, кстати, если все знают пароли всех (я даже встречал когда у всех был один и тот же пароль 567890 для всех), и нет никакого разграничения доступа. Ну и администраторов, которые не форсируют смену паролей и не организуют централизованные хранилища данных/программ. Рядовые работники-то тут причём?

~~mr_doug~~
(31.01.13 16:18:37 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 31.01.13 16:08:02 MSK

если систему взломают, неважно как, то получат правильные пароли

Если войдут как root, то уже неважно, какие там пароли они увидят. Если не как root, то с rw------- лог не прочитать.

~~mr_doug~~
(31.01.13 16:21:25 MSK) автор топика

Ответ на: комментарий от tazhate 31.01.13 16:11:30 MSK

И что? Как это связано с разговором то? :)

Ты ситуацию рассматривашь со стороны админов: для тебя пока что ещё админы - это центр мироздания. Для меня же они всего-навсего обслуживающий персонал, такой же как и уборщицы. Спорить с твоим воспалившимся эго по этому поводу я не собираюсь. Надеюсь, с возрастом это у тебя пройдёт.

Нет незаменяемых людей ;)

Несомненно! Только я ни разу не видел смену всех сотрудников разом. Ежели менять по одному, то будет то же, что и с обезьянами, бананом и поливанием водой: старшие товарищи покажут новичку как у них принято работать. И всё продолжится по-старому.

anonymous
(31.01.13 16:56:53 MSK)

Ответ на: комментарий от anonymous 31.01.13 16:56:53 MSK

Ты можешь как-то суть донести? А то я уже не улавливаю дискуссии.

tazhate ★★★★★
(31.01.13 17:03:58 MSK)

Ссылка

Ответ на: комментарий от tazhate 31.01.13 11:14:33 MSK

Твою контору это разорит?

frob ★★★★★
(31.01.13 17:22:47 MSK)

Ответ на: комментарий от frob 31.01.13 17:22:47 MSK

Твою контору это разорит?

Нет конечно. Я говорил в контексте сервиса.
Я выступаю за открытые и бесплатные.

tazhate ★★★★★
(31.01.13 17:23:54 MSK)

Ответ на: комментарий от mr_doug 31.01.13 16:21:25 MSK

Почему неважно то? Ну взломали один сервер, ну получили бы в обычном случае хеши паролей или вобще ничего, если ldap. А так получат сразу пароли открытым текстом. Если, допустим, в системе прикручен ldap, то эти пароли могут подойти к другим серверам.

mky ★★★★★
(31.01.13 18:08:53 MSK)

Ссылка

Ответ на: комментарий от tazhate 31.01.13 17:23:54 MSK

Я выступаю за открытые и бесплатные.

Жаль, что не 'свободные' :-P

frob ★★★★★
(31.01.13 18:16:47 MSK)

Ссылка

pam ёпт

vasily_pupkin ★★★★★
(01.02.13 02:40:43 MSK)

Ссылка

Ответ на: комментарий от tazhate 30.01.13 18:41:24 MSK

cracklib ёпт

vasily_pupkin ★★★★★
(01.02.13 02:41:41 MSK)

Ссылка

Ответ на: комментарий от anonymous 31.01.13 14:27:01 MSK

Ну так и отвечай за безопасность. Пароли пользователей-то тут при чём?

facepalm

А ещё пользователь может какой-нибудь важный документ по ошибке отправить по почте вашим конкурентам. Запретить им пользоваться почтой?

да. запретить отправлять нешифрованную почту.

Ага, а деньги фирме будут зарабатывать одмины, администрируя сервера и компы друг друга. Резонно.

нет. зарабатывать будут сотрудники, которые «по ошибке» сливают документы конкуренту. Ога.

~~drBatty~~ ★★
(04.02.13 07:00:47 MSK)

Ссылка

Ответ на: комментарий от anonymous 31.01.13 14:40:46 MSK

У тебя какое-то странное представление о паролях и их применении в реальной ситуации простым офисным планктоном, как нас принято называть в вашей среде.

он говорит о том, что ТЫ будешь входить куда надо «без пароля». Вообще. Разве это для тебя плохо?

~~drBatty~~ ★★
(04.02.13 07:03:28 MSK)

Ссылка

Ответ на: комментарий от zolden 31.01.13 15:29:41 MSK

т.е. ты печатаешь вслепую со стопроцентной безошибочностью, без опечаток, даже на незнакомой/новой клавиатуре, и наверяка везде поменял дефолтные 3 попытки ввода на однократную попытку.

да

Ты феномен, тебя

нет. Тебя. Я НЕ ВВОЖУ ПАРОЛИ. У меня везде разные, вроде wfaJVr|26. И я их НЕ ПОМНЮ. На серверах так вообще в 2048 бит минимум. А уж если и ввожу, то раз в году, и _обязательно_ на знакомой старой клавиатуре. Причём ЭТОТ пароль НИГДЕ не запоминается.

Вообще говоря, пароли вводят только ламеры с тупым одмином, который до сих пор в 80х годах прошлого века.

~~drBatty~~ ★★
(04.02.13 07:13:34 MSK)

Ссылка

Ответ на: комментарий от mky 31.01.13 16:14:39 MSK

Я правильно вас понял, что если на одном сервере крутится sendmail, cyrus, squid, vsftpd, sshd, то у одно пользователя для каждого демона должны быть разные пароли?

для _демона_ пароля вообще быть не должно. для юзера sshd должен быть ключ. для mail ИМХО достаточно пароля, там всё равно в открытую передаётся, потому пароль нужен лишь для того, что-бы кто угодно спам с твоего имени не слал. FTP не нужен. Если кому-то нужен, то это специальный юзер без доступа (возможно тот-же самый, что юзает например wine. FTP нужен для небезызвестной ОС, которая других протоколов не понимает).

на кой ляд тебе в squid заходить под юзером, да ещё и удалённо - мне неясно.

~~drBatty~~ ★★
(04.02.13 07:21:59 MSK)

Ответ на: комментарий от mr_doug 31.01.13 16:21:25 MSK

Если войдут как root, то уже неважно, какие там пароли они увидят. Если не как root, то с rw------- лог не прочитать.

могут войти локально, тогда свои rw------- можешь засунуть себе в…

~~drBatty~~ ★★
(04.02.13 07:24:02 MSK)

Ссылка

Ответ на: комментарий от anonymous 31.01.13 16:56:53 MSK

Для меня же они всего-навсего обслуживающий персонал, такой же как и уборщицы. Спорить с твоим воспалившимся эго по этому поводу я не собираюсь. Надеюсь, с возрастом это у тебя пройдёт.

а ты срёшь на рабочем месте? Как к этому относится твоя уборщица? Попробуй. Думаю скорее всего получишь половой тряпкой по роже, и больше так делать не будешь. Если конечно работаешь ты не один. Ну вот твоё отношение к паролям, это как срать на рабочем месте. Только подтирать за тобой должны в первом случае админы, а во втором - уборщицы.

Несомненно! Только я ни разу не видел смену всех сотрудников разом. Ежели менять по одному, то будет то же, что и с обезьянами, бананом и поливанием водой: старшие товарищи покажут новичку как у них принято работать. И всё продолжится по-старому.

а ты-бы стал работать в хлеву, где все гадят под себя? Уборщицей?

~~drBatty~~ ★★
(04.02.13 07:29:04 MSK)

Ссылка

Ответ на: комментарий от drBatty 04.02.13 07:21:59 MSK

для _демона_ пароля вообще быть не должно

Я не про пользователя daemon, я просто думал, как это правильно назвать «служба», «сервис», «сервер» :-)

Изначально речь шла о том, что если не ходить root'ом, а делать ″su -″, то для взлома ssh нужно подбирать не только пароль, но и имя пользователя. Если рассматривать взлом исключительно «снаружи» то это так, а если считать, что у злоумышленника есть доступ в локальную сеть, то ему легче получить пароли обычных пользователей, которые ходят в почту, squid, ftp, чем пользователя root, которых ходит только по ssh и больше ничем не пользуется.

Если говорить, что в ssh можно ходить только по ключу, тогда вобще вся тема с первого поста ни о чём.

mky ★★★★★
(04.02.13 16:03:09 MSK)

Ответ на: комментарий от mky 04.02.13 16:03:09 MSK

Изначально речь шла о том, что если не ходить root'ом, а делать ″su -″, то для взлома ssh нужно подбирать не только пароль, но и имя пользователя. Если рассматривать взлом исключительно «снаружи» то это так, а если считать, что у злоумышленника есть доступ в локальную сеть, то ему легче получить пароли обычных пользователей, которые ходят в почту, squid, ftp, чем пользователя root, которых ходит только по ssh и больше ничем не пользуется.

для доступа «изнутри» ты должен знать И имя юзера/его пароль, И пароль рута. Предполагается, что имя юзера тебе практически ничего ценного не даст - если ты получил пароль и имя дебила, то и порадует тебя это не слишком сильно - кто доверит дебилу что-то ценное? А вот рут использует _свою_ учётку (которая не дебила), и с неё всё делает (читает свою почту, смотрит свою порнуху, и так далее). С неё же он и одминит. Если его прав не хватает, то он юзает su/sudo (последнее лучше). Как не странно, это нужно довольно редко - например админ может у себя написать и отладить какой-нить скрипт, и ему понадобится только _одна_ команда, что-бы заставить _всех_ юзеров юзать его скрипт.

В принципе, так оно и задумано в ubuntu, только 95% дебилов забыли сделать себе учётку, и зачем-то юзают админскую.

Если говорить, что в ssh можно ходить только по ключу, тогда вобще вся тема с первого поста ни о чём.

да. По ключу. Причём НЕ руту. Вход рута должен быть _вообще_ закрыт. И по ключу и по паролю. Можно и патч сделать, ибо вход с правами рута - это УЖЕ взлом.

~~drBatty~~ ★★
(04.02.13 19:32:38 MSK)

Ответ на: комментарий от drBatty 04.02.13 19:32:38 MSK

Перекрывая на сервер доступ руту, нужно делать отдельного пользователя, который может делать ″su″, и чтобы этот пользователь ни чем больше не занимался. То есть из под этого пользователя не работали с почтой/squid/ftp, а только ходили по ssh. А ещё лучше запретить этому пользователю изменять файлы в его домашнем каталоге.

mky ★★★★★
(04.02.13 21:48:43 MSK)

Ответ на: комментарий от tazhate 30.01.13 18:35:10 MSK

PasswordAuthentication no

/thread

P.S. Где-то у меня в закромах в песочнице лежит честно отнятый на просторах хецнеровских сетей брутфорсир, кому надо могу отсыпать.

~~Lumi~~ ★★★★★
(04.02.13 22:01:42 MSK)

Ответ на: комментарий от Lumi 04.02.13 22:01:42 MSK

PasswordAuthentication no

Это и ослу ясно, речь о другом.

P.S. Где-то у меня в закромах в песочнице лежит честно отнятый на просторах хецнеровских сетей брутфорсир, кому надо могу отсыпать.

ps: уйди, виртуал.

tazhate ★★★★★
(04.02.13 22:03:40 MSK)

Ответ на: комментарий от tazhate 04.02.13 22:03:40 MSK

Это и ослу ясно, речь о другом.

Не понимаю в чём смысл обсуждения.

ps: уйди, виртуал.

Тсс.

~~Lumi~~ ★★★★★
(04.02.13 22:06:25 MSK)

Ответ на: комментарий от Lumi 04.02.13 22:06:25 MSK

Не понимаю в чём смысл обсуждения.

Набить базу паролей, которые НЕЛЬЗЯ использовать, сделанные на основе брутфорса :)

tazhate ★★★★★
(04.02.13 22:14:43 MSK)

Ответ на: комментарий от tazhate 04.02.13 22:14:43 MSK

Набить базу паролей, которые НЕЛЬЗЯ использовать, сделанные на основе брутфорса :)

Лол, тогда взломщик точно будет знать какие пароли использовать не надо. И сгенерит новый словарик.

~~Lumi~~ ★★★★★
(04.02.13 23:16:04 MSK)

Ответ на: комментарий от Lumi 04.02.13 23:16:04 MSK

Лол, тогда взломщик точно будет знать какие пароли использовать не надо. И сгенерит новый словарик.

Который тут же попадет в тот же список.

tazhate ★★★★★
(04.02.13 23:29:33 MSK)

Ответ на: комментарий от tazhate 04.02.13 23:29:33 MSK

А когда пароли кончатся?

pwgen 50
aiwooluofa9eb4cheeQuemoseis5baig8ienaiyahTud5haep3
unahh2ahyieseQuughohjie6eeCie2sahQueeteth3aeSheeHa
iefeichufoh0moeghei9Uheo6chaik7Bei8Ohc4Uf5fae0nahR
ueng1Izu6ie3Eiril7hu1phee6uPahy1queithinail4yaeNeY
uLahmaet4quooxahwi6gangaeKoocohc3duexaa3di9lie4ala
eiv1eizahGhei6Ahci6Ooh0Afoo2MahliFiexahye0vah5Teim
ahc5the2gah6phaithohx2aeKei3Pa0tu0Geinohg1Iegu9oom
ahX8maiJai0Ootahtoo2eechiegh7ieGhuemicheecooxees0I
theix4euy5hu5chaso3jeL1maeXoxohwie5yoh7ibie2shaeyo
ahm2aemuiteiKietiengeikeete5sahjaihaevaiy8Ar3Ote8c
ciacaYie8Xooch6omah9aiTah1Ephahf4quaihuoRai8oeReez
cuJaiGhae3eepaiS3vouMiuLe8Oaphahta8gohbeo4Pae7oohu
iec2lah5PeeMoociumae0aengo0RooF5ech2oweboole7tin6k
Uchiepohtoob1wi7Poodie1ougeibaiboo3eitahheuzohsh7u
ahbi1aimohkeicaengahYeikeoph9xei0Ir2iukohxohboonai
roorei6fai0peip4heesa5oo2ohC4Egh5janais3zeiThevuiz
aeghieVai3iethoo1Oothohph2paequah1Jio1ahl4soo0CoV1
ooQuah1saix9oogh0angoowoofai9GaeNgoh8kahtoo2Aechoh
kah9OTaikeph2eizi6thoa0ush5Hi1joh0iya9ahd2ioM8uphe
zeir0euj2iexoshi8ohgei9gohch7aeghiecoque7ri4eac4Pe

А когда такие тоже попадут в блеклист? Перебирать пароли намного проще, чем их менять и запоминать.

~~Lumi~~ ★★★★★
(04.02.13 23:42:42 MSK)

Ответ на: комментарий от mky 04.02.13 21:48:43 MSK

Перекрывая на сервер доступ руту, нужно делать отдельного пользователя, который может делать ″su″, и чтобы этот пользователь ни чем больше не занимался. То есть из под этого пользователя не работали с почтой/squid/ftp, а только ходили по ssh. А ещё лучше запретить этому пользователю изменять файлы в его домашнем каталоге.

зачем такие сложности? Почему этот пользователь(ака администратор) не может читать почту и т.д.?

Т.е. ты предлагаешь администратору помнить три пароля:

пароль рута
пароль пользователя для входа в систему
пароль пользователя для набора su

и так для каждой машины? не слишком-ли заморочено?

~~drBatty~~ ★★
(05.02.13 09:58:57 MSK)

Ответ на: комментарий от Lumi 04.02.13 23:42:42 MSK

А когда пароли кончатся?

ну ты посчитай сначала, СКОЛЬКО паролей сделает твоя pwgen, и не в 50, а в 6 символов. И КОГДА они кончаться.

Я тоже хочу жить вечно.

~~drBatty~~ ★★
(05.02.13 10:01:38 MSK)

Ответ на: комментарий от drBatty 05.02.13 10:01:38 MSK

[a-zA-Z0-9] 6^62

Если статистика будет собираться с 1к машин, которые брутят по 100 паролей в секунду? А если с миллиона машин, которые брутят по 100000 паролей в секунду?

P.S. Тся!

~~Lumi~~ ★★★★★
(05.02.13 10:41:40 MSK)

Ответ на: комментарий от Lumi 05.02.13 10:41:40 MSK

которые брутят по 100000 паролей в секунду? P.S. Тся!

сам-то понял, что написал? Попробуй брутить хотя-бы по 10 паролей в секунду, и узнаешь, как и когда они «кончатЬся». Именно тЬся, ибо они НЕ СДЕЛАЮТ, а БУДУТ ДЕЛАТЬ - кончаться. Причём вечно.

PS: у врагов могут быть 100500 машин, которые брутят по 100500 паролей. Но у меня ОДИН сервер, который обрабатывает ОДИН логин. А форкается он ПОСЛЕ логина. Потому _работать_ могут 100500 юзеров, но _заходить_ могут только по одному.

~~drBatty~~ ★★
(05.02.13 11:12:35 MSK)
Последнее исправление: drBatty 05.02.13 11:20:08 MSK (всего исправлений: 1)

Ответ на: комментарий от drBatty 05.02.13 11:12:35 MSK

Попробуй брутить хотя-бы по 10 паролей

Я не говорю про брутить с одной машины.

У тебя одна машина, у меня одна машина, у таза одна машина. Ещё у миллиона человек по одной машине. Если все будут добавлять пароли в один чёрный список, то они быстро кончатся.

~~Lumi~~ ★★★★★
(05.02.13 11:35:29 MSK)
Последнее исправление: Lumi 05.02.13 11:36:40 MSK (всего исправлений: 1)

Ответ на: комментарий от Lumi 05.02.13 11:35:29 MSK

Я не говорю про брутить с одной машины.

ты говорил брутить ОДНУ машину.

У тебя одна машина, у меня одна машина, у таза одна машина. Ещё у миллиона человек по одной машине. Если все будут добавлять пароли в один чёрный список, то они быстро кончатся.

миллион машин - это совсем не много. Это файл в ~50Мб, и найти нужный пароль там можно за 20 циклов чтения.

Или ты хочешь сказать, что если миллион машин будут раз в 3 секунды читать 20 раз кусок памяти в 50Мб, то это кто-то заметит?

~~drBatty~~ ★★
(05.02.13 11:46:29 MSK)

Ссылка

Ответ на: комментарий от tazhate 30.01.13 18:50:40 MSK

Большая часть дистрибутивов из коробки разрешают логин рута.

Тю!

anonymous
(05.02.13 11:46:43 MSK)

Ссылка

Ответ на: комментарий от tazhate 30.01.13 18:57:22 MSK

Но запрет на простые пароли ты как сделаешь? ;)

Срамота!

http://linux.die.net/man/8/pam_passwdqc

anonymous
(05.02.13 11:48:00 MSK)

Ответ на: комментарий от anonymous 05.02.13 11:48:00 MSK

Срамота!

Кошмар! Только вот такой модуль пропустит пароль Tazhate(1234).

tazhate ★★★★★
(05.02.13 11:49:07 MSK)

Я так понял, что с этим патчем и удачный логин/пароль засветится в /var/log/auth.log, что не есть хорошо.

Jurik_Phys ★★★★★
(05.02.13 11:56:40 MSK)

Ссылка

Почитал тему, ради интереса заглянул в /var/log/auth.log на своём домашнем, как я думал, никому не нужном сервачке:

Feb  5 11:21:13 maxwell sshd[32107]: Failed password for root from 61.136.171.198 port 35761 ssh2
Feb  5 11:21:14 maxwell sshd[32107]: Received disconnect from 61.136.171.198: 11: Bye Bye [preauth]
Feb  5 11:21:23 maxwell sshd[32109]: Failed password for root from 61.136.171.198 port 36368 ssh2
Feb  5 11:21:23 maxwell sshd[32109]: Received disconnect from 61.136.171.198: 11: Bye Bye [preauth]
Feb  5 11:21:31 maxwell sshd[32112]: Failed password for root from 61.136.171.198 port 36994 ssh2
Feb  5 11:21:31 maxwell sshd[32112]: Received disconnect from 61.136.171.198: 11: Bye Bye [preauth]
Feb  5 11:21:40 maxwell sshd[32114]: Failed password for root from 61.136.171.198 port 37509 ssh2
Feb  5 11:21:40 maxwell sshd[32114]: Received disconnect from 61.136.171.198: 11: Bye Bye [preauth]
....

Я думал, это редкость, а оказалось, очень даже частое явление.

Беда!!! А учитывая вот это:

cat /etc/ssh/sshd_config | grep PermitRoot
PermitRootLogin yes

дела были совсем плохи.

Jurik_Phys ★★★★★
(05.02.13 12:19:40 MSK)

Посаны, а кто это вообще такая - cacutza? И почему так популярна?

LMD ★
(05.02.13 12:25:58 MSK)

Если кому интересно, что будет делать сферический скрипт-кидди в ваккуме после успешного логина в вашу систему, можно посмотреть реплеи тут: http://iwatchedyourhack.org/.

Прямая ссылка на эпичный вин: http://iwatchedyourhack.org/node/8

Записано вроде бы с помощью SSH-ханипота Kippo.

edigaryev ★★★★★
(05.02.13 13:10:54 MSK)

Вот кстати сайт, на котором ежечасно обновляется tag cloud с логинами и паролями, которые боты используют для входа в honeypot: https://dragonresearchgroup.org/insight/sshpwauth-cloud.html

edigaryev ★★★★★
(05.02.13 13:40:31 MSK)

Ссылка

Ответ на: комментарий от tazhate 05.02.13 11:49:07 MSK

Срамота! Смысл в том, что *можно* централизованно проверять пароли.

Но это для тебя сложно понять. Вот ещё почитай http://linux.die.net/man/8/pam_cracklib

anonymous
(05.02.13 14:54:44 MSK)

Ответ на: комментарий от Jurik_Phys 05.02.13 12:19:40 MSK

Смени порт sshd.

anonymous
(05.02.13 14:55:43 MSK)

Ссылка

Ответ на: комментарий от anonymous 05.02.13 14:54:44 MSK

Откуда столько злости? Выдохни.

tazhate ★★★★★
(05.02.13 14:58:42 MSK)

Ответ на: комментарий от edigaryev 05.02.13 13:10:54 MSK

Спасибо поржал, хотя смахивает на троллинг.

anton_jugatsu ★★★★
(05.02.13 14:58:59 MSK)

Ответ на: комментарий от tazhate 05.02.13 14:58:42 MSK

Ути-пути, кис-кис-кис.

anonymous
(05.02.13 15:04:40 MSK)

Ответ на: комментарий от anton_jugatsu 05.02.13 14:58:59 MSK

хотя смахивает на троллинг.

useradd — это и есть самый настоящий троллинг.

Впринципе можно подсовывать взломщику настоящую ОС без подобных «приколов», но в большинстве случаев medium ineraction honeypot'а достаточно для того чтобы получить ссылки на бинарники, которые взломщик хотел установить в систему.

Kippo еще выдает забавные фразы при попытке запуска исполняемых файлов из текущей директории.

edigaryev ★★★★★
(05.02.13 15:35:55 MSK)
Последнее исправление: edigaryev 05.02.13 15:41:00 MSK (всего исправлений: 1)

Ответ на: комментарий от edigaryev 05.02.13 15:35:55 MSK

Упустил, что это kippo, а ну тогда всё ясно, а то я подумал, что это атакующий так троллит )

anton_jugatsu ★★★★
(05.02.13 15:55:37 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 3 4 →

←	Такое правило IPtables имеет право существовать ?

Security

Бан ssh-ботов

→

Похожие темы