Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Próby włamania i skanowanie portów??
http://forum.freesco.pl/viewtopic.php?f=22&t=7757		 Strona 1 z 1
Autor:  kajtekph [ środa, 25 maja 2005, 01:22 ]
Tytuł:  Próby włamania i skanowanie portów??
Poniżej przedstawiam log z pliku auth.1. Jak takiego intruza zablokować???? Dodam ze od kilku dni to sie dzieje i nie tylko z tego IP.

: [/] [] ()
May 24 22:23:40 router_nnd sshd[1159]: Failed password for invalid user samuel from 193.231.76.135 port 59498 ssh2
May 24 22:23:43 router_nnd sshd[1182]: Invalid user sammy from 193.231.76.135
May 24 22:23:43 router_nnd sshd[1182]: error: Could not get shadow information for NOUSER
May 24 22:23:43 router_nnd sshd[1182]: Failed password for invalid user sammy from 193.231.76.135 port 59539 ssh2
May 24 22:23:47 router_nnd sshd[1205]: Invalid user samir from 193.231.76.135
May 24 22:23:47 router_nnd sshd[1205]: error: Could not get shadow information for NOUSER
May 24 22:23:47 router_nnd sshd[1205]: Failed password for invalid user samir from 193.231.76.135 port 59588 ssh2
May 24 22:23:49 router_nnd sshd[1228]: Invalid user sean from 193.231.76.135
May 24 22:23:49 router_nnd sshd[1228]: error: Could not get shadow information for NOUSER
May 24 22:23:49 router_nnd sshd[1228]: Failed password for invalid user sean from 193.231.76.135 port 59640 ssh2
May 24 22:23:52 router_nnd sshd[1251]: Invalid user shaun from 193.231.76.135
May 24 22:23:52 router_nnd sshd[1251]: error: Could not get shadow information for NOUSER
May 24 22:23:52 router_nnd sshd[1251]: Failed password for invalid user shaun from 193.231.76.135 port 59684 ssh2
May 24 22:23:54 router_nnd sshd[1274]: Invalid user sven from 193.231.76.135
May 24 22:23:54 router_nnd sshd[1274]: error: Could not get shadow information for NOUSER
May 24 22:23:54 router_nnd sshd[1274]: Failed password for invalid user sven from 193.231.76.135 port 59718 ssh2
May 24 22:23:56 router_nnd sshd[1297]: Invalid user steve from 193.231.76.135
May 24 22:23:56 router_nnd sshd[1297]: error: Could not get shadow information for NOUSER
May 24 22:23:56 router_nnd sshd[1297]: Failed password for invalid user steve from 193.231.76.135 port 59758 ssh2
May 24 22:23:59 router_nnd sshd[1324]: Invalid user steven from 193.231.76.135
May 24 22:23:59 router_nnd sshd[1324]: error: Could not get shadow information for NOUSER
May 24 22:23:59 router_nnd sshd[1324]: Failed password for invalid user steven from 193.231.76.135 port 59794 ssh2
May 24 22:24:01 router_nnd sshd[1326]: Invalid user temp from 193.231.76.135
May 24 22:24:01 router_nnd sshd[1326]: error: Could not get shadow information for NOUSER
May 24 22:24:01 router_nnd sshd[1326]: Failed password for invalid user temp from 193.231.76.135 port 59838 ssh2
May 24 22:24:04 router_nnd sshd[1347]: Invalid user tim from 193.231.76.135
May 24 22:24:04 router_nnd sshd[1347]: error: Could not get shadow information for NOUSER
May 24 22:24:04 router_nnd sshd[1347]: Failed password for invalid user tim from 193.231.76.135 port 59871 ssh2
May 24 22:24:06 router_nnd sshd[1368]: Invalid user tom from 193.231.76.135
May 24 22:24:06 router_nnd sshd[1368]: error: Could not get shadow information for NOUSER
May 24 22:24:06 router_nnd sshd[1368]: Failed password for invalid user tom from 193.231.76.135 port 59913 ssh2
May 24 22:24:09 router_nnd sshd[1396]: Invalid user tony from 193.231.76.135
May 24 22:24:09 router_nnd sshd[1396]: error: Could not get shadow information for NOUSER
May 24 22:24:09 router_nnd sshd[1396]: Failed password for invalid user tony from 193.231.76.135 port 59945 ssh2
May 24 22:24:11 router_nnd sshd[1419]: Invalid user vanessa from 193.231.76.135
May 24 22:24:11 router_nnd sshd[1419]: error: Could not get shadow information for NOUSER
May 24 22:24:11 router_nnd sshd[1419]: Failed password for invalid user vanessa from 193.231.76.135 port 59987 ssh2
May 24 22:24:14 router_nnd sshd[1442]: Invalid user will from 193.231.76.135
May 24 22:24:14 router_nnd sshd[1442]: error: Could not get shadow information for NOUSER
May 24 22:24:14 router_nnd sshd[1442]: Failed password for invalid user will from 193.231.76.135 port 60023 ssh2
May 24 22:24:16 router_nnd sshd[1444]: Invalid user willie from 193.231.76.135
May 24 22:24:16 router_nnd sshd[1444]: error: Could not get shadow information for NOUSER
May 24 22:24:16 router_nnd sshd[1444]: Failed password for invalid user willie from 193.231.76.135 port 60063 ssh2
May 24 22:24:20 router_nnd sshd[1467]: Invalid user win from 193.231.76.135
May 24 22:24:20 router_nnd sshd[1467]: error: Could not get shadow information for NOUSER
May 24 22:24:20 router_nnd sshd[1467]: Failed password for invalid user win from 193.231.76.135 port 60101 ssh2
May 24 22:24:26 router_nnd sshd[1541]: Invalid user samba from 193.231.76.135
May 24 22:24:26 router_nnd sshd[1541]: error: Could not get shadow information for NOUSER
May 24 22:24:26 router_nnd sshd[1541]: Failed password for invalid user samba from 193.231.76.135 port 60149 ssh2
May 24 22:24:29 router_nnd sshd[1565]: Failed password for sshd from 193.231.76.135 port 60234 ssh2
May 24 22:24:31 router_nnd sshd[1568]: Invalid user adam from 193.231.76.135
May 24 22:24:31 router_nnd sshd[1568]: error: Could not get shadow information for NOUSER
May 24 22:24:31 router_nnd sshd[1568]: Failed password for invalid user adam from 193.231.76.135 port 60268 ssh2
May 24 22:24:34 router_nnd sshd[1597]: Invalid user anton from 193.231.76.135
May 24 22:24:34 router_nnd sshd[1597]: error: Could not get shadow information for NOUSER
May 24 22:24:34 router_nnd sshd[1597]: Failed password for invalid user anton from 193.231.76.135 port 60309 ssh2
May 24 22:24:36 router_nnd sshd[1620]: Invalid user gary from 193.231.76.135
May 24 22:24:36 router_nnd sshd[1620]: error: Could not get shadow information for NOUSER
May 24 22:24:36 router_nnd sshd[1620]: Failed password for invalid user gary from 193.231.76.135 port 60350 ssh2
GeSHi © Codebox Plus
Autor:  broken [ środa, 25 maja 2005, 01:33 ]
Tytuł: 
zablokuj port 22 od strony Internetu :)
Autor:  kajtekph [ środa, 25 maja 2005, 01:40 ]
Tytuł: 
potrzebuje czasem administracji przez neta. Lepszy jest bardzie wyrafinowany sposób tylko jaki??? Zablokuje 22 to znajdzie się zaraz jakiś inny.
Autor:  Albercik [ środa, 25 maja 2005, 09:26 ]
Tytuł: 
kajtekph pisze:
potrzebuje czasem administracji przez neta. Lepszy jest bardzie wyrafinowany sposób tylko jaki??? Zablokuje 22 to znajdzie się zaraz jakiś inny.


Wpisz do host.deny ALL a do host.allow ip zewnętrzne z którego się łaczysz.
Autor:  kajtekph [ środa, 25 maja 2005, 10:13 ]
Tytuł: 
W pliku host.deny miałem wpis:

ALL: ALL: DENY

zmieniłem na :

ALL: ALL: ALL

W pliku host.allow miałem wpis:

sshd: ALL

zmieniłem na:

sshd: (tutaj podałem zewnętrze IP z które chce się łączyć)

Po wylogowaniu sie i połączeniu jeszcze raz przez PUTTY z zew. IP pokazuje się tylko SERVER UNEXPCTEDLY CLOSED NETWORK CONNECTION
Autor:  Pinky [ środa, 25 maja 2005, 10:56 ]
Tytuł: 
najprosciej? uruchom serwer sshd na innym porcie. co jeszcze, dodaj wpis AllowUsers tylko dla wybranych uzytkownikow, jesli laczysz sie tylko z jednej lokalizacji [stalego ip] wpisz go w host.allow a w deny zablokoj wszystkie, dopisz regulke do iptables wpuszczajaca na ten port tylko z wybranych ip.
mozna tez, i to tez przydatne dla innych uslug, zaprzec do pracy iptables z modulem recent i MaxAuthTries w sshd_config

Pinky
Autor:  Aconitum [ środa, 25 maja 2005, 14:46 ]
Tytuł: 
Witam

Ja to załatwiłem tak:
w /etc/hosts.allow dodałem wpisy pozwalające na dostęp z sieci lokalnej (siec mam na numerach od 192.168.1.1 w górę) i z zewnątrz dla mojego IP.
Wpisy wyglądaja tak:
sshd: 192.168.1.
sshd: moj_numer_ip

Pierwszy wpis wygląda tak jak wygląda (z kropką na końcu i bez ostatniego numeru) żeby dostęp był z dowolnego komputera z sieci lokalnej.
Drugi wpis chyba nie wymaga wyjaśniania.

Po takim zabiegu informacje o odrzuconych połączeniach są w pliku /var/log/messages.

Pozdrawiam
Autor:  pablo2k5 [ środa, 25 maja 2005, 19:07 ]
Tytuł: 
Witam! miesiąc temu miałem ten sam problem. Także wykorzystuję ssh do zdalnej administracji, nie muszę dzięki temu w pracy siedzieć po godzinach :D Średnio co trzy dni odbywał się atak o podobnym charakterze co u Ciebie. Jeśli masz statyczny adres IP hosta z którego zdalnie administrujesz serwer to możesz spróbować filtrować ruch w iptables:

iptables -A INPUT -i ethX -s ! TWÓJ_IP -j LOG --ewentualne parametry logowania
iptables -A INPUT -i ethX -s ! TWÓJ_IP -j DROP
iptables -A INPUT -i ethX -s TWÓJ_IP -j ACCEPT

gdzie: ethX jest interfejsem twojego serwera podłączonego do sieci zewnętrzej
To jest oczywiście uproszczona konfiguracja. Musisz pamiętać, że jeżeli twój ISP ma włączony NAT to w miejsce TWÓJ_IP powinieneś podać jego publiczny adres (oczywiście ryzyko ataku wtedy nadal jest, gdyż ktoś z twojej podsieci może bez problemu ominąć firewalla). Dlatego nie powinieneś polegać na samym firewallu lecz "dopieścić" bezpieczeństwo wewnętrzne systemu.
Jak już mówiłem ja spotkałem się z czymś podobnym i z większości adresów z których następowały ataki to były czyjeś strony internetowe (głównie w Niemczech, na co wskazywała trasa śledzenia)
Autor:  pablo2k5 [ środa, 25 maja 2005, 19:13 ]
Tytuł: 
sorki bo zapomniałem dodać że powinieneś w iptables podać port na którym nasłuchuje ssh, a nie wszycho co się tylko da:

iptables -A INPUT -i ethx -p tcp -s TWÓJ_IP --dport 22 -j ACCEPT

A reszta zależy od ciebie jak sobie te bałwan jestem dopieścisz (nie zapomnij o filtrowaniu ruchu wychodzącego)
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/