Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest poniedziałek, 7 lipca 2025, 18:42

Posty bez odpowiedzi | Aktywne tematy


Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  Strona 1 z 1
  [ Posty: 9 ] 
  Podgląd wydruku Poprzedni temat | Następny temat 
Autor Wiadomość
kajtekph
Post: środa, 25 maja 2005, 01:22 
Offline

Rejestracja: poniedziałek, 15 lipca 2002, 21:46
Posty: 51
Poniżej przedstawiam log z pliku auth.1. Jak takiego intruza zablokować???? Dodam ze od kilku dni to sie dzieje i nie tylko z tego IP.

: [/] [] ()
May 24 22:23:40 router_nnd sshd[1159]: Failed password for invalid user samuel from 193.231.76.135 port 59498 ssh2
May 24 22:23:43 router_nnd sshd[1182]: Invalid user sammy from 193.231.76.135
May 24 22:23:43 router_nnd sshd[1182]: error: Could not get shadow information for NOUSER
May 24 22:23:43 router_nnd sshd[1182]: Failed password for invalid user sammy from 193.231.76.135 port 59539 ssh2
May 24 22:23:47 router_nnd sshd[1205]: Invalid user samir from 193.231.76.135
May 24 22:23:47 router_nnd sshd[1205]: error: Could not get shadow information for NOUSER
May 24 22:23:47 router_nnd sshd[1205]: Failed password for invalid user samir from 193.231.76.135 port 59588 ssh2
May 24 22:23:49 router_nnd sshd[1228]: Invalid user sean from 193.231.76.135
May 24 22:23:49 router_nnd sshd[1228]: error: Could not get shadow information for NOUSER
May 24 22:23:49 router_nnd sshd[1228]: Failed password for invalid user sean from 193.231.76.135 port 59640 ssh2
May 24 22:23:52 router_nnd sshd[1251]: Invalid user shaun from 193.231.76.135
May 24 22:23:52 router_nnd sshd[1251]: error: Could not get shadow information for NOUSER
May 24 22:23:52 router_nnd sshd[1251]: Failed password for invalid user shaun from 193.231.76.135 port 59684 ssh2
May 24 22:23:54 router_nnd sshd[1274]: Invalid user sven from 193.231.76.135
May 24 22:23:54 router_nnd sshd[1274]: error: Could not get shadow information for NOUSER
May 24 22:23:54 router_nnd sshd[1274]: Failed password for invalid user sven from 193.231.76.135 port 59718 ssh2
May 24 22:23:56 router_nnd sshd[1297]: Invalid user steve from 193.231.76.135
May 24 22:23:56 router_nnd sshd[1297]: error: Could not get shadow information for NOUSER
May 24 22:23:56 router_nnd sshd[1297]: Failed password for invalid user steve from 193.231.76.135 port 59758 ssh2
May 24 22:23:59 router_nnd sshd[1324]: Invalid user steven from 193.231.76.135
May 24 22:23:59 router_nnd sshd[1324]: error: Could not get shadow information for NOUSER
May 24 22:23:59 router_nnd sshd[1324]: Failed password for invalid user steven from 193.231.76.135 port 59794 ssh2
May 24 22:24:01 router_nnd sshd[1326]: Invalid user temp from 193.231.76.135
May 24 22:24:01 router_nnd sshd[1326]: error: Could not get shadow information for NOUSER
May 24 22:24:01 router_nnd sshd[1326]: Failed password for invalid user temp from 193.231.76.135 port 59838 ssh2
May 24 22:24:04 router_nnd sshd[1347]: Invalid user tim from 193.231.76.135
May 24 22:24:04 router_nnd sshd[1347]: error: Could not get shadow information for NOUSER
May 24 22:24:04 router_nnd sshd[1347]: Failed password for invalid user tim from 193.231.76.135 port 59871 ssh2
May 24 22:24:06 router_nnd sshd[1368]: Invalid user tom from 193.231.76.135
May 24 22:24:06 router_nnd sshd[1368]: error: Could not get shadow information for NOUSER
May 24 22:24:06 router_nnd sshd[1368]: Failed password for invalid user tom from 193.231.76.135 port 59913 ssh2
May 24 22:24:09 router_nnd sshd[1396]: Invalid user tony from 193.231.76.135
May 24 22:24:09 router_nnd sshd[1396]: error: Could not get shadow information for NOUSER
May 24 22:24:09 router_nnd sshd[1396]: Failed password for invalid user tony from 193.231.76.135 port 59945 ssh2
May 24 22:24:11 router_nnd sshd[1419]: Invalid user vanessa from 193.231.76.135
May 24 22:24:11 router_nnd sshd[1419]: error: Could not get shadow information for NOUSER
May 24 22:24:11 router_nnd sshd[1419]: Failed password for invalid user vanessa from 193.231.76.135 port 59987 ssh2
May 24 22:24:14 router_nnd sshd[1442]: Invalid user will from 193.231.76.135
May 24 22:24:14 router_nnd sshd[1442]: error: Could not get shadow information for NOUSER
May 24 22:24:14 router_nnd sshd[1442]: Failed password for invalid user will from 193.231.76.135 port 60023 ssh2
May 24 22:24:16 router_nnd sshd[1444]: Invalid user willie from 193.231.76.135
May 24 22:24:16 router_nnd sshd[1444]: error: Could not get shadow information for NOUSER
May 24 22:24:16 router_nnd sshd[1444]: Failed password for invalid user willie from 193.231.76.135 port 60063 ssh2
May 24 22:24:20 router_nnd sshd[1467]: Invalid user win from 193.231.76.135
May 24 22:24:20 router_nnd sshd[1467]: error: Could not get shadow information for NOUSER
May 24 22:24:20 router_nnd sshd[1467]: Failed password for invalid user win from 193.231.76.135 port 60101 ssh2
May 24 22:24:26 router_nnd sshd[1541]: Invalid user samba from 193.231.76.135
May 24 22:24:26 router_nnd sshd[1541]: error: Could not get shadow information for NOUSER
May 24 22:24:26 router_nnd sshd[1541]: Failed password for invalid user samba from 193.231.76.135 port 60149 ssh2
May 24 22:24:29 router_nnd sshd[1565]: Failed password for sshd from 193.231.76.135 port 60234 ssh2
May 24 22:24:31 router_nnd sshd[1568]: Invalid user adam from 193.231.76.135
May 24 22:24:31 router_nnd sshd[1568]: error: Could not get shadow information for NOUSER
May 24 22:24:31 router_nnd sshd[1568]: Failed password for invalid user adam from 193.231.76.135 port 60268 ssh2
May 24 22:24:34 router_nnd sshd[1597]: Invalid user anton from 193.231.76.135
May 24 22:24:34 router_nnd sshd[1597]: error: Could not get shadow information for NOUSER
May 24 22:24:34 router_nnd sshd[1597]: Failed password for invalid user anton from 193.231.76.135 port 60309 ssh2
May 24 22:24:36 router_nnd sshd[1620]: Invalid user gary from 193.231.76.135
May 24 22:24:36 router_nnd sshd[1620]: error: Could not get shadow information for NOUSER
May 24 22:24:36 router_nnd sshd[1620]: Failed password for invalid user gary from 193.231.76.135 port 60350 ssh2
GeSHi © Codebox Plus
Na górę
 Wyświetl profil  
 
broken
 Tytuł:
Post: środa, 25 maja 2005, 01:33 
Offline

Rejestracja: poniedziałek, 7 czerwca 2004, 17:28
Posty: 61
zablokuj port 22 od strony Internetu :)
Na górę
 Wyświetl profil  
 
kajtekph
 Tytuł:
Post: środa, 25 maja 2005, 01:40 
Offline

Rejestracja: poniedziałek, 15 lipca 2002, 21:46
Posty: 51
potrzebuje czasem administracji przez neta. Lepszy jest bardzie wyrafinowany sposób tylko jaki??? Zablokuje 22 to znajdzie się zaraz jakiś inny.
Na górę
 Wyświetl profil  
 
Albercik
 Tytuł:
Post: środa, 25 maja 2005, 09:26 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
kajtekph pisze:
potrzebuje czasem administracji przez neta. Lepszy jest bardzie wyrafinowany sposób tylko jaki??? Zablokuje 22 to znajdzie się zaraz jakiś inny.


Wpisz do host.deny ALL a do host.allow ip zewnętrzne z którego się łaczysz.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie :)
Szybkie kobiety i piękne samochody
Na górę
 Wyświetl profil  
 
kajtekph
 Tytuł:
Post: środa, 25 maja 2005, 10:13 
Offline

Rejestracja: poniedziałek, 15 lipca 2002, 21:46
Posty: 51
W pliku host.deny miałem wpis:

ALL: ALL: DENY

zmieniłem na :

ALL: ALL: ALL

W pliku host.allow miałem wpis:

sshd: ALL

zmieniłem na:

sshd: (tutaj podałem zewnętrze IP z które chce się łączyć)

Po wylogowaniu sie i połączeniu jeszcze raz przez PUTTY z zew. IP pokazuje się tylko SERVER UNEXPCTEDLY CLOSED NETWORK CONNECTION
Na górę
 Wyświetl profil  
 
Pinky
 Tytuł:
Post: środa, 25 maja 2005, 10:56 
Offline
MODERATOR

Rejestracja: środa, 17 lipca 2002, 09:10
Posty: 64
Lokalizacja: Poznań
najprosciej? uruchom serwer sshd na innym porcie. co jeszcze, dodaj wpis AllowUsers tylko dla wybranych uzytkownikow, jesli laczysz sie tylko z jednej lokalizacji [stalego ip] wpisz go w host.allow a w deny zablokoj wszystkie, dopisz regulke do iptables wpuszczajaca na ten port tylko z wybranych ip.
mozna tez, i to tez przydatne dla innych uslug, zaprzec do pracy iptables z modulem recent i MaxAuthTries w sshd_config

Pinky

_________________
Polska Grupa Freesco
Na górę
 Wyświetl profil  
 
Aconitum
 Tytuł:
Post: środa, 25 maja 2005, 14:46 
Offline

Rejestracja: środa, 22 stycznia 2003, 11:16
Posty: 68
Lokalizacja: Lublin
Witam

Ja to załatwiłem tak:
w /etc/hosts.allow dodałem wpisy pozwalające na dostęp z sieci lokalnej (siec mam na numerach od 192.168.1.1 w górę) i z zewnątrz dla mojego IP.
Wpisy wyglądaja tak:
sshd: 192.168.1.
sshd: moj_numer_ip

Pierwszy wpis wygląda tak jak wygląda (z kropką na końcu i bez ostatniego numeru) żeby dostęp był z dowolnego komputera z sieci lokalnej.
Drugi wpis chyba nie wymaga wyjaśniania.

Po takim zabiegu informacje o odrzuconych połączeniach są w pliku /var/log/messages.

Pozdrawiam
Na górę
 Wyświetl profil  
 
pablo2k5
 Tytuł:
Post: środa, 25 maja 2005, 19:07 
Offline
Użytkownik

Rejestracja: środa, 25 maja 2005, 18:42
Posty: 193
Lokalizacja: Kozienice
Witam! miesiąc temu miałem ten sam problem. Także wykorzystuję ssh do zdalnej administracji, nie muszę dzięki temu w pracy siedzieć po godzinach :D Średnio co trzy dni odbywał się atak o podobnym charakterze co u Ciebie. Jeśli masz statyczny adres IP hosta z którego zdalnie administrujesz serwer to możesz spróbować filtrować ruch w iptables:

iptables -A INPUT -i ethX -s ! TWÓJ_IP -j LOG --ewentualne parametry logowania
iptables -A INPUT -i ethX -s ! TWÓJ_IP -j DROP
iptables -A INPUT -i ethX -s TWÓJ_IP -j ACCEPT

gdzie: ethX jest interfejsem twojego serwera podłączonego do sieci zewnętrzej
To jest oczywiście uproszczona konfiguracja. Musisz pamiętać, że jeżeli twój ISP ma włączony NAT to w miejsce TWÓJ_IP powinieneś podać jego publiczny adres (oczywiście ryzyko ataku wtedy nadal jest, gdyż ktoś z twojej podsieci może bez problemu ominąć firewalla). Dlatego nie powinieneś polegać na samym firewallu lecz "dopieścić" bezpieczeństwo wewnętrzne systemu.
Jak już mówiłem ja spotkałem się z czymś podobnym i z większości adresów z których następowały ataki to były czyjeś strony internetowe (głównie w Niemczech, na co wskazywała trasa śledzenia)
Na górę
 Wyświetl profil  
 
pablo2k5
 Tytuł:
Post: środa, 25 maja 2005, 19:13 
Offline
Użytkownik

Rejestracja: środa, 25 maja 2005, 18:42
Posty: 193
Lokalizacja: Kozienice
sorki bo zapomniałem dodać że powinieneś w iptables podać port na którym nasłuchuje ssh, a nie wszycho co się tylko da:

iptables -A INPUT -i ethx -p tcp -s TWÓJ_IP --dport 22 -j ACCEPT

A reszta zależy od ciebie jak sobie te bałwan jestem dopieścisz (nie zapomnij o filtrowaniu ruchu wychodzącego)
Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  Strona 1 z 1
  [ Posty: 9 ] 

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 12 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl