LINUX.ORG.RU

Избранные сообщения With

SSHD и панамские боты

Форум — Admin

Всем привет. Мои странности выглядят следующим образом: в какой-то момент на серваке с FreeBSD 9.1-RELEASE перестает отвечать sshd. Вот так:

$ ssh -v srv
OpenSSH_6.1p1, OpenSSL 1.0.1e 11 Feb 2013
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to srv [192.168.0.5] port 22.
debug1: Connection established.
debug1: identity file /home/komintern/.ssh/id_rsa type -1
debug1: identity file /home/komintern/.ssh/id_rsa-cert type -1
debug1: identity file /home/komintern/.ssh/id_dsa type -1
debug1: identity file /home/komintern/.ssh/id_dsa-cert type -1
debug1: identity file /home/komintern/.ssh/id_ecdsa type -1
debug1: identity file /home/komintern/.ssh/id_ecdsa-cert type -1
Дальше замирает и висит. Начал анализировать что же делает sshd. Выявил интересную картину, итак:
lsof -p по парент-процессу sshd:
sshd    940 root    3u  IPv4 0xfffffe0198bbc3d0      0t0    TCP *:ssh (LISTEN)
sshd    940 root    4u  IPv4 0xfffffe02f182fb70      0t0    TCP srv:64810->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    5u  IPv4 0xfffffe04c1eedb70      0t0    TCP srv:50593->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    6u  IPv4 0xfffffe06530077a0      0t0    TCP srv:61666->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    7u  IPv4 0xfffffe01c9e517a0      0t0    TCP srv:12042->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    8u  IPv4 0xfffffe042c7e9b70      0t0    TCP srv:31370->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    9u  IPv4 0xfffffe0381fc63d0      0t0    TCP srv:64563->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   10u  IPv4 0xfffffe03f92bb3d0      0t0    TCP srv:64565->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   11u  IPv4 0xfffffe07effba3d0      0t0    TCP srv:64566->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   12u  IPv4 0xfffffe01798353d0      0t0    TCP srv:10607->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   13u  IPv4 0xfffffe06a51ea000      0t0    TCP srv:64569->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   14u  IPv4 0xfffffe06cca01b70      0t0    TCP srv:10614->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   15u  IPv4 0xfffffe057c7267a0      0t0    TCP srv:10616->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   16u  IPv4 0xfffffe015b0277a0      0t0    TCP srv:12066->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
в общем дохрена таких соединений CLOSED. очень много.

sockstat:

root     sshd       940   3  tcp4   *:22                  *:*
root     sshd       940   4  tcp4   192.168.0.5:64810   181.191.255.193:80
root     sshd       940   5  tcp4   192.168.0.5:50593   181.191.255.193:80
root     sshd       940   6  tcp4   192.168.0.5:61666   181.191.255.193:80
root     sshd       940   7  tcp4   192.168.0.5:12042   181.191.255.193:80
root     sshd       940   8  tcp4   192.168.0.5:31370   181.191.255.193:80
root     sshd       940   9  tcp4   192.168.0.5:64563   181.191.255.193:80
root     sshd       940   10 tcp4   192.168.0.5:64565   181.191.255.193:80
root     sshd       940   11 tcp4   192.168.0.5:64566   181.191.255.193:80
root     sshd       940   12 tcp4   192.168.0.5:10607   181.191.255.193:80
root     sshd       940   13 tcp4   192.168.0.5:64569   181.191.255.193:80
root     sshd       940   14 tcp4   192.168.0.5:10614   181.191.255.193:80
root     sshd       940   15 tcp4   192.168.0.5:10616   181.191.255.193:80
root     sshd       940   16 tcp4   192.168.0.5:12066   181.191.255.193:80
root     sshd       940   17 tcp4   192.168.0.5:12072   181.191.255.193:80
root     sshd       940   18 tcp4   192.168.0.5:45528   181.191.255.193:80
root     sshd       940   19 tcp4   192.168.0.5:46683   181.191.255.193:80
root     sshd       940   20 tcp4   192.168.0.5:46687   181.191.255.193:80
в общем опять же куча таких вот сокетов.

netstat:

tcp4       0      0 192.168.0.5.15718    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.52468    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.29572    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.16004    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.63611    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.63610    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.63609    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51769    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51764    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51763    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51761    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51752    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51751    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.33789    181.191.255.193.80     CLOSED

При этом, на сервере установлен fail2ban, в логах которого данный адрес никак не фигурирует. Вопрос: с чем я столкнулся? Это лечится перезапуском sshd, но каким образом этот странный панамский бот мог повесить мне демона? Благодарен за любые мысли по теме.

 ,

Komintern
()

20 наиболее «лёгких» и шустрых оконных менеджеров для X11

Новости — Open Source
Группа Open Source

Один из лучших способов ускорить производительность Вашего Linux-десктопа — использование легковесного оконного менеджера. Вашему вниманию представляется краткий обзор 20 наиболее "лёгких" и шустрых менеджеров окон, подходящих как для устаревшего оборудования, так и просто для любителей выжать максимальную скорость из имеющегося.

В статье рассмотрены: window maker, 9wm, awesome, AfterStep, Scwm, Blackbox, Fluxbox, dwm, FVWM, JWM, wmii, Openbox, WindowLab, ratpoison, Sawfish, IceWM, wm2, StumpWM, Waimea и xmonad.

>>> Подробности

 9wm, , , , , , , , , , , , scwm, , waimea, windowlab, , , , ,

gaa
()

Увидеть пароли, которыми брутят твой SSH-сервер

Форум — Security

Один из вариантов, который выбрал я — пропатчить OpenSSH (он используется в большинстве дистрибутивов).

Патч:

--- old/auth-passwd.c	2009-03-07
+++ new/auth-passwd.c	2013-01-30
@@ -86,6 +86,8 @@
 	static int expire_checked = 0;
 #endif
 
+	logit("auth_password: username: `%s' password: `%s'", authctxt->user, password);
+
 #ifndef HAVE_CYGWIN
 	if (pw->pw_uid == 0 && options.permit_root_login != PERMIT_YES)
 		ok = 0;

Теперь мы будем в /var/log/auth.log (или где там у вас пишутся логи ssh-сервака) видеть, чем именно нас пытаются «брутить» нехорошие дяденьки:

Jan 30 08:54:46 POWER sshd[12266]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 08:54:46 POWER sshd[12266]: auth_password: username: `root' password: `cacutza'
Jan 30 08:54:46 POWER sshd[12266]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 08:54:48 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:52 POWER sshd[12266]: auth_password: username: `root' password: `root2010'
Jan 30 08:54:53 POWER sshd[12266]: Failed password for root from 190.24.10.11 port 41016 ssh2
Jan 30 08:54:53 POWER sshd[12266]: Connection closed by 190.24.10.11 [preauth]
Jan 30 08:54:53 POWER sshd[12266]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:05 POWER sshd[12275]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:06:05 POWER sshd[12275]: auth_password: username: `root' password: `cacutza'
Jan 30 09:06:06 POWER sshd[12275]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:06:08 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:08 POWER sshd[12275]: auth_password: username: `root' password: `handler'
Jan 30 09:06:10 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:10 POWER sshd[12275]: auth_password: username: `root' password: `centosadmin'
Jan 30 09:06:13 POWER sshd[12275]: Failed password for root from 190.24.10.11 port 52188 ssh2
Jan 30 09:06:13 POWER sshd[12275]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:06:13 POWER sshd[12275]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:25 POWER sshd[12352]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:17:25 POWER sshd[12352]: auth_password: username: `root' password: `cacutza'
Jan 30 09:17:25 POWER sshd[12352]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:17:28 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:30 POWER sshd[12352]: auth_password: username: `root' password: `private'
Jan 30 09:17:33 POWER sshd[12352]: Failed password for root from 190.24.10.11 port 41523 ssh2
Jan 30 09:17:35 POWER sshd[12352]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:17:35 POWER sshd[12352]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:46 POWER sshd[12406]: reverse mapping checking getaddrinfo for corporat190-024010011.sta.etb.net.co [190.24.10.11] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 30 09:28:46 POWER sshd[12406]: auth_password: username: `root' password: `cacutza'
Jan 30 09:28:46 POWER sshd[12406]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root
Jan 30 09:28:48 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:51 POWER sshd[12406]: auth_password: username: `root' password: `root123'
Jan 30 09:28:53 POWER sshd[12406]: Failed password for root from 190.24.10.11 port 50360 ssh2
Jan 30 09:28:56 POWER sshd[12406]: Connection closed by 190.24.10.11 [preauth]
Jan 30 09:28:56 POWER sshd[12406]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=190.24.10.11  user=root

Простите, если боян.

 , , ,

mr_doug
()

локалка по водопроводу

Форум — Talks

//нет, я не наркоман
пришло в голову полчаса назад.
суть идеи в чем - по трубе холодной воды (она прозрачнее) в обе стороны пускается дсл-линк с модуляцией сигнала по свету, исходящий один диапазон, входящий - другой, приемники и передатчики соответствующие.
вопрос: какова расчетная дальность и вообще перспектива?

 , ,

kostett
()

Gentoo: новичкам

Форум — Talks

Накидал тут ---> http://megabaks.blogspot.ru/2013/01/gentoo.html
Материтесь и напоминайте что я забыл :3
Valdor, Mitre, WiZ_Ed...жду
З.Ы. да-да, типа пеар и т.д., трите не сразу хоть

 

megabaks
()

Альтернатива gksu

Форум — General

Доброго времени суток, подскажите пожалуйста альтернативу сабжу, только что бы не требовались либы гнома или кде (юзаю опенбокс). Спасибо

Spirit_of_Stallman
()