Бан ssh-ботов

1

1

Есть ли какой-либо способ временно блокировать ssh-ботов? Я нашел fail2ban, но он основан на логах сислога, а у меня стоит systemd и оный отсутствует. Можно ли как-то совместить их, или может быть есть менее костыльное решение, которое не парсит логи, а ловит ботов другим способом?

Ссылка

←	Увидеть пароли, которыми брутят твой SSH-сервер

Защита wifi от сниффера

→

sshguard? не уверен правда через что он работает.

Pinkbyte ★★★★★
(30.01.13 22:32:31 MSK)

fail2ban-systemd-journal-git?

kerneliq ★★★★★
(30.01.13 22:33:49 MSK)

Ссылка

Ответ на: комментарий от Pinkbyte 30.01.13 22:32:31 MSK

Logging

Sshguard interprets log messages with several formats:

    syslog
    syslog-ng
    metalog
    multilog
    raw log

Но я гляну, может можно скриптиком просто пихать ему вывод journalctl раз в час.

~~vurdalak~~ ★★★★★
(30.01.13 22:34:21 MSK) автор топика

Ссылка

Нашел http://www.opennet.ru/opennews/art.shtml?num=35258, только ебилда нету.

~~vurdalak~~ ★★★★★
(30.01.13 22:35:25 MSK) автор топика

Перевесь ssh на другой порт. Помогает.

derlafff ★★★★★
(30.01.13 22:35:27 MSK)

Ответ на: комментарий от derlafff 30.01.13 22:35:27 MSK

Нет гарантии, что туда не постучатся. Мне некритично пока, но хочу разобраться в настройке банхаммера.

~~vurdalak~~ ★★★★★
(30.01.13 22:37:11 MSK) автор топика

Ответ на: комментарий от vurdalak 30.01.13 22:35:25 MSK

И как там systemd после openrc?

xorik ★★★★★
(30.01.13 22:37:31 MSK)

Ответ на: комментарий от xorik 30.01.13 22:37:31 MSK

Нормально. Юниты писать проще, журнал удобнее фильтруется. А так особой разницы не заметил, скорость запуска мне по барабану (перезагружаюсь только после обновления ядра). Из минусов — парочку юнитов пришлось писать самому (i2p, например), так как в оверлее systemd пока не для всего они есть.

~~vurdalak~~ ★★★★★
(30.01.13 22:40:01 MSK) автор топика

Ссылка

Ответ на: комментарий от vurdalak 30.01.13 22:35:25 MSK

Завел реквест на багзилле. Сначала думал написать ебилд самостоятельно, но у меня совсем нет времени курить маны по их созданию.

~~vurdalak~~ ★★★★★
(30.01.13 22:46:15 MSK) автор топика

Ссылка

Ответ на: комментарий от vurdalak 30.01.13 22:37:11 MSK

Нет гарантии, что туда не постучатся.

Обычно стучаться массовые фигни, от которых особой угрозы нет, только траффик. На ttyh.ru стучалось куча всех, порт сменили на другой и больше ничего нет.

derlafff ★★★★★
(31.01.13 00:15:36 MSK)

Ссылка

Ответ на: комментарий от vurdalak 30.01.13 22:37:11 MSK

По своему опыту говорю, по нестандартным портам залетные боты никогда не стучат.

winddos ★★★
(31.01.13 05:54:11 MSK)

Ссылка

или может быть есть менее костыльное решение

Конечно есть: iptables -m recent
Пример.

Lavos ★★★★★
(31.01.13 06:25:12 MSK)

Ответ на: комментарий от Lavos 31.01.13 06:25:12 MSK

А почему в примерах с recent принято рассматривать все пакеты подряд, а не только со state ESTABLISHED? Это ведь получается, что если будет поток SYN-пакетами с поддельным src-ip адресом, то в список попадут любые желаемые адреса, в том числе, допустим, адреса компьютера админа.

mky ★★★★★
(31.01.13 16:21:42 MSK)

Ответ на: комментарий от mky 31.01.13 16:21:42 MSK

а не только со state ESTABLISHED?

Наверное это все из-за того, что тогда он начнет банить все подряд сеансы, когда счетчик пакетов дотикает до определенного значения?

Lavos ★★★★★
(31.01.13 16:25:37 MSK)

В арче sshguard запускается так:

/usr/lib/systemd/scripts/sshguard-journalctl -b /var/db/sshguard/blacklist.db

.service файл в комплекте.

sergej ★★★★★
(31.01.13 17:42:57 MSK)

Ссылка

Ответ на: комментарий от Lavos 31.01.13 16:25:37 MSK

Нет, ну не просто ESTABLISHED, а отягощённая ″--connbytes --connbytes-mode packets″. Просто я вобще не встречал таких примеров, вот думаю, есть тут подводные камни или нет.

mky ★★★★★
(31.01.13 18:17:04 MSK)

Ссылка

Бот пытается получить доступ к твоеё машине?

true_hacker
(31.01.13 20:26:12 MSK)

Ответ на: комментарий от true_hacker 31.01.13 20:26:12 MSK

Ога.

~~vurdalak~~ ★★★★★
(31.01.13 20:35:20 MSK) автор топика

Ответ на: комментарий от vurdalak 31.01.13 20:35:20 MSK

Пароль посложнее поставь и никто его не подберет. Вот и все решение.

true_hacker
(31.01.13 20:37:12 MSK)

Ответ на: комментарий от true_hacker 31.01.13 20:37:12 MSK

У меня авторизация только по ключам. Но мусор в логах и нагрузка на систему немного раздражают. Хочу просто банить ботов через iptables.

~~vurdalak~~ ★★★★★
(31.01.13 20:39:03 MSK) автор топика

Ответ на: комментарий от vurdalak 31.01.13 20:39:03 MSK

Судя по всему, это модераторы, которые имеют доступ к ip пользователей. Вот так сидеть на ЛОРе.

true_hacker
(31.01.13 20:40:20 MSK)

Ответ на: комментарий от true_hacker 31.01.13 20:40:20 MSK

Миллионы взломанных лично Макскомом. А хостится лор на кластере из ботнета таких пользователей.

~~vurdalak~~ ★★★★★
(31.01.13 20:47:23 MSK) автор топика

Ответ на: комментарий от vurdalak 31.01.13 20:47:23 MSK

А еще maxcom за нами за всеми следит.

true_hacker
(31.01.13 20:50:31 MSK)

Ссылка

смени порт - если на 22-м порту fail2ban давал ~50 банов в день, то на нестандартном порту раз в пару дней ломятся.

kombrig ★★★
(31.01.13 20:50:39 MSK)

Ссылка

Настроить port knocking и логи будут девственно чисты :)

af5 ★★★★★
(01.02.13 15:13:23 MSK)

Ссылка

Но зачем это делать?

vasily_pupkin ★★★★★
(03.02.13 12:11:27 MSK)

Ответ на: комментарий от vasily_pupkin 03.02.13 12:11:27 MSK

Чтобы не создавали нагрузку на систему своими запросами.

~~vurdalak~~ ★★★★★
(03.02.13 13:46:55 MSK) автор топика

Ответ на: комментарий от vurdalak 03.02.13 13:46:55 MSK

Это «загрузка» разве что для древнего роутера.

vasily_pupkin ★★★★★
(03.02.13 14:35:23 MSK)

Ответ на: комментарий от vasily_pupkin 03.02.13 14:35:23 MSK

Или для какого-нибудь RPi, где ARM вместо процессора

derlafff ★★★★★
(03.02.13 14:38:05 MSK)

Ссылка

http://en.wikipedia.org/wiki/Port_knocking

Не?

~~Lumi~~ ★★★★★
(04.02.13 22:07:37 MSK)

Ссылка

Ответ на: комментарий от vurdalak 03.02.13 13:46:55 MSK

Тогда уж бань через ipset, т.к. куча правил в iptables тоже хорошо грузит процессор, проверено. Где-то после 20к оно ворочатся перестает совсем даже на мощном железе :)

blind_oracle ★★★★★
(05.02.13 10:06:52 MSK)

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -N ssh_brute
iptables -A ssh_brute -m conntrack --ctstate NEW -m hashlimit \
> --hashlimit-upto 1/h --hashlimit-burst 10 --hashlimit-mode srcip \
> --hashlimit-htable-expire 30000 --hashlimit-name ssh_brute -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport ssh -j ssh_brute
iptables -P INPUT DROP
watch -n1 cat /proc/net/ipt_hashlimit/ssh_brute
nping --tcp -p 22 -c 20 192.168.0.18

anton_jugatsu ★★★★
(05.02.13 13:06:17 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 05.02.13 10:06:52 MSK

fail2ban не очень подходит для тех, кто не отваливается после одного отказа в соединении, для них, ИМХО, лучше denyhosts. У меня стоит связка fail2ban + denyhosts (fail2ban банит на час, если через после разбана бот продолжает ломится - добавляется в denyhosts на неделю) - за последние три дня всего 35 попыток авторизоваться от ботов, в denyhost где-то 40 записей.

maloi ★★★★★
(05.02.13 13:36:15 MSK)

Ссылка

уже было озвучено чуть выше, iptables + hashlimit

статья на хабре

menefis ★
(18.02.13 16:24:20 MSK)

Ссылка

30 марта 2013 г.

Ответ на: комментарий от vurdalak 30.01.13 22:37:11 MSK

Хм

Название поста Бан ssh-ботов

Вам ответили:

Перевесь ssh на другой порт. Помогает.

Да, это действительно помогает.

Нет гарантии, что туда не постучатся.

Тогда это будут уже не боты.

Вообще если очень бесят поставь ipset, и бань их по подсетям например китайцев всяких и индию я сразу баню. Всего 5 записей в цепочке, а заблокировано при этом 3-5 миллионов ip. Auth.log чистейший.

censured
(30.03.13 08:33:41 MSK)