Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Natrętne próby włamań :/ Co z tym zrobić ?
http://forum.freesco.pl/viewtopic.php?f=28&t=17459		 Strona 1 z 1
Autor:  PtX [ środa, 28 stycznia 2009, 20:47 ]
Tytuł:  Natrętne próby włamań :/ Co z tym zrobić ?
Witam mam dość wredny problem z ciągłymi atakami z internetu. Jacyś kolesie nagminnie próbują się włamać do mojego routera NND :/

: [/] [] ()
Jan 27 09:57:27 Router sshd[21757]: Failed password for root from 202.108.59.112 port 35828 ssh2
Jan 27 09:57:27 Router sshd[21757]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:57:31 Router sshd[21759]: Failed password for root from 202.108.59.112 port 36858 ssh2
Jan 27 09:57:31 Router sshd[21759]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:57:34 Router sshd[21761]: Failed password for root from 202.108.59.112 port 37885 ssh2
Jan 27 09:57:34 Router sshd[21761]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:57:38 Router sshd[21763]: Failed password for root from 202.108.59.112 port 38888 ssh2
Jan 27 09:57:38 Router sshd[21763]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:57:42 Router sshd[21765]: Failed password for root from 202.108.59.112 port 40000 ssh2
Jan 27 09:57:42 Router sshd[21765]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:57:46 Router sshd[21767]: Failed password for root from 202.108.59.112 port 41012 ssh2
Jan 27 09:57:46 Router sshd[21767]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:57:50 Router sshd[21769]: Failed password for root from 202.108.59.112 port 42022 ssh2
Jan 27 09:57:50 Router sshd[21769]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:57:53 Router sshd[21771]: Failed password for root from 202.108.59.112 port 43112 ssh2
Jan 27 09:57:53 Router sshd[21771]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:57:57 Router sshd[21773]: Failed password for root from 202.108.59.112 port 44104 ssh2
Jan 27 09:57:57 Router sshd[21773]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:01 Router sshd[21775]: Failed password for root from 202.108.59.112 port 45130 ssh2
Jan 27 09:58:01 Router sshd[21775]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:05 Router sshd[21777]: Failed password for root from 202.108.59.112 port 46231 ssh2
Jan 27 09:58:05 Router sshd[21777]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:09 Router sshd[21779]: Failed password for root from 202.108.59.112 port 47348 ssh2
Jan 27 09:58:09 Router sshd[21779]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:13 Router sshd[21781]: Failed password for root from 202.108.59.112 port 48394 ssh2
Jan 27 09:58:13 Router sshd[21781]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:17 Router sshd[21783]: Failed password for root from 202.108.59.112 port 49416 ssh2
Jan 27 09:58:17 Router sshd[21783]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:20 Router sshd[21785]: Failed password for root from 202.108.59.112 port 50447 ssh2
Jan 27 09:58:20 Router sshd[21785]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:24 Router sshd[21787]: Failed password for root from 202.108.59.112 port 51528 ssh2
Jan 27 09:58:24 Router sshd[21787]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:28 Router sshd[21789]: Failed password for root from 202.108.59.112 port 52508 ssh2
Jan 27 09:58:28 Router sshd[21789]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:32 Router sshd[21791]: Failed password for root from 202.108.59.112 port 53579 ssh2
Jan 27 09:58:32 Router sshd[21791]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:36 Router sshd[21793]: Failed password for root from 202.108.59.112 port 54621 ssh2
Jan 27 09:58:36 Router sshd[21793]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:40 Router sshd[21795]: Failed password for root from 202.108.59.112 port 55631 ssh2
Jan 27 09:58:40 Router sshd[21795]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:43 Router sshd[21797]: Failed password for root from 202.108.59.112 port 56752 ssh2
Jan 27 09:58:43 Router sshd[21797]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:47 Router sshd[21799]: Failed password for root from 202.108.59.112 port 57796 ssh2
Jan 27 09:58:47 Router sshd[21799]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:51 Router sshd[21801]: Failed password for root from 202.108.59.112 port 58822 ssh2
Jan 27 09:58:51 Router sshd[21801]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:55 Router sshd[21803]: Failed password for root from 202.108.59.112 port 59864 ssh2
Jan 27 09:58:55 Router sshd[21803]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:58:59 Router sshd[21805]: Failed password for root from 202.108.59.112 port 60902 ssh2
Jan 27 09:58:59 Router sshd[21805]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:02 Router sshd[21807]: Failed password for root from 202.108.59.112 port 33703 ssh2
Jan 27 09:59:02 Router sshd[21807]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:06 Router sshd[21809]: Failed password for root from 202.108.59.112 port 34741 ssh2
Jan 27 09:59:06 Router sshd[21809]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:10 Router sshd[21811]: Failed password for root from 202.108.59.112 port 35758 ssh2
Jan 27 09:59:10 Router sshd[21811]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:14 Router sshd[21813]: Failed password for root from 202.108.59.112 port 36802 ssh2
Jan 27 09:59:14 Router sshd[21813]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:18 Router sshd[21815]: Failed password for root from 202.108.59.112 port 37867 ssh2
Jan 27 09:59:18 Router sshd[21815]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:21 Router sshd[21817]: Failed password for root from 202.108.59.112 port 38908 ssh2
Jan 27 09:59:21 Router sshd[21817]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:25 Router sshd[21819]: Failed password for root from 202.108.59.112 port 39951 ssh2
Jan 27 09:59:25 Router sshd[21819]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:29 Router sshd[21821]: Failed password for root from 202.108.59.112 port 41007 ssh2
Jan 27 09:59:29 Router sshd[21821]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:33 Router sshd[21823]: Failed password for root from 202.108.59.112 port 42037 ssh2
Jan 27 09:59:33 Router sshd[21823]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:36 Router sshd[21825]: Failed password for root from 202.108.59.112 port 43083 ssh2
Jan 27 09:59:36 Router sshd[21825]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:40 Router sshd[21827]: Failed password for root from 202.108.59.112 port 44134 ssh2
Jan 27 09:59:40 Router sshd[21827]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:44 Router sshd[21829]: Failed password for root from 202.108.59.112 port 45142 ssh2
Jan 27 09:59:44 Router sshd[21829]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:48 Router sshd[21831]: Failed password for root from 202.108.59.112 port 46195 ssh2
Jan 27 09:59:48 Router sshd[21831]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:52 Router sshd[21833]: Failed password for root from 202.108.59.112 port 47248 ssh2
Jan 27 09:59:52 Router sshd[21833]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:55 Router sshd[21835]: Failed password for root from 202.108.59.112 port 48301 ssh2
Jan 27 09:59:55 Router sshd[21835]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 09:59:59 Router sshd[21837]: Failed password for root from 202.108.59.112 port 49383 ssh2
Jan 27 09:59:59 Router sshd[21837]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 10:00:03 Router sshd[21839]: Failed password for root from 202.108.59.112 port 50416 ssh2
Jan 27 10:00:03 Router sshd[21839]: Excess permission or bad ownership on file /var/log/btmp
Jan 27 10:00:07 Router sshd[21841]: Failed password for root from 202.108.59.112 port 51439 ssh2
Jan 27 10:00:07 Router sshd[21841]: Excess permission or bad ownership on file /var/log/btmp
GeSHi © Codebox Plus


Przecież już świra z tym dostane. Niedługo całą partycje będą zajmowały logi :/ teraz już wszystkie logi zajmują około 32 MB :/ Powyższy log to tylko 1/20 tego co sie znajdowało w pliku :/ Wie ktoś jak sie pozbyć tych pasożytów ? Dlaczego niby łączą się przez SSH2 ? jak NND obsługuje SSH ? Port mam ustawiony standardowo na 22 a tu jest cała gamma portów i każdego wpuszcza :/


EDIT:

No i wchodziłem niedawno i znowu widze, że jakiś pajac próbował logować sie na roota :/ No masakra

: [/] [] ()
Jan 28 16:04:47 Router sshd[418]: Accepted password for ptx from 91.36.217.69 port 1209 ssh2
Jan 28 17:50:57 Router sshd[439]: Failed password for root from 117.28.224.71 port 58910 ssh2
Jan 28 17:50:57 Router sshd[439]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:00 Router sshd[441]: Failed password for root from 117.28.224.71 port 59144 ssh2
Jan 28 17:51:00 Router sshd[441]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:07 Router sshd[443]: Failed password for root from 117.28.224.71 port 59347 ssh2
Jan 28 17:51:07 Router sshd[443]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:10 Router sshd[445]: Failed password for root from 117.28.224.71 port 60121 ssh2
Jan 28 17:51:10 Router sshd[445]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:13 Router sshd[447]: Failed password for root from 117.28.224.71 port 60304 ssh2
Jan 28 17:51:13 Router sshd[447]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:15 Router sshd[449]: Failed password for root from 117.28.224.71 port 60512 ssh2
Jan 28 17:51:15 Router sshd[449]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:18 Router sshd[451]: Failed password for root from 117.28.224.71 port 60694 ssh2
Jan 28 17:51:18 Router sshd[451]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:21 Router sshd[453]: Failed password for root from 117.28.224.71 port 60902 ssh2
Jan 28 17:51:21 Router sshd[453]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:23 Router sshd[455]: Failed password for root from 117.28.224.71 port 32871 ssh2
Jan 28 17:51:23 Router sshd[455]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:26 Router sshd[457]: Failed password for root from 117.28.224.71 port 33069 ssh2
Jan 28 17:51:26 Router sshd[457]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:28 Router sshd[459]: Failed password for root from 117.28.224.71 port 33258 ssh2
Jan 28 17:51:28 Router sshd[459]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:31 Router sshd[461]: Failed password for root from 117.28.224.71 port 33453 ssh2
Jan 28 17:51:31 Router sshd[461]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:34 Router sshd[463]: Failed password for root from 117.28.224.71 port 33626 ssh2
Jan 28 17:51:34 Router sshd[463]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:37 Router sshd[465]: Invalid user oracle from 117.28.224.71
Jan 28 17:51:37 Router sshd[465]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:37 Router sshd[465]: error: Could not get shadow information for NOUSER
Jan 28 17:51:37 Router sshd[465]: Failed password for invalid user oracle from 117.28.224.71 port 33843 ssh2
Jan 28 17:51:37 Router sshd[465]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:40 Router sshd[467]: Invalid user test from 117.28.224.71
Jan 28 17:51:40 Router sshd[467]: Excess permission or bad ownership on file /var/log/btmp
Jan 28 17:51:40 Router sshd[467]: error: Could not get shadow information for NOUSER
Jan 28 17:51:40 Router sshd[467]: Failed password for invalid user test from 117.28.224.71 port 34034 ssh2
Jan 28 17:51:40 Router sshd[467]: Excess permission or bad ownership on file /var/log/btmp
GeSHi © Codebox Plus
Autor:  Maciek [ środa, 28 stycznia 2009, 21:04 ]
Tytuł: 
Masz kilka możliwości:
1. Nie przejmować się, jeśli masz mocne hasła i nie dajesz "krewnym i znajomym królika" dostępu do shella, logi są rotowane i nie zapchają dysku.
2. Zainstalować fail2ban i blokować każdego natręta na kilka(naście) minut. Ilośc wpisów w auth i error się zmniejszy, a pojawi się fial2ban.log.
3. Przenieść ssh na inny port, co może być czasem niewygodne, ale skuteczne.
4. Zamknąć ssh od zewnątrz lub otworzyć je tylko na wybrane zewnętrzne IP, co też może być kłopotliwe w niektórych sytuacjach.
5. Odciąć serwer od netu i zamknąć go w szafie pancernej, co jest zdecydowanie najbezpieczniejsze.
Decyzja należy do ciebie.
Autor:  viater [ środa, 28 stycznia 2009, 22:21 ]
Tytuł: 
Maciek pisze:
Masz kilka możliwości:
[ciach]
5. Odciąć serwer od netu i zamknąć go w szafie pancernej, co jest zdecydowanie najbezpieczniejsze.

Najlepsza opcja - 0% szans na włamanie.

"Najbezpieczniejsza sieć to taka sieć, której nie ma."
Autor:  tasiorek [ czwartek, 29 stycznia 2009, 00:27 ]
Tytuł: 
Do odpowiedzi z FAQ dodalbym jeszcze mozliwosc postawienia vpna.
Osobiscie jednak stosuje wylacznie logowanie po kluczach + jeden serwer awaryjny z ssh na dziwnym porcie, mocnym hasle, ipsentry nasluchujacym na porcie 22 i kluczami na reszte serwerow.
Autor:  marcin w [ czwartek, 29 stycznia 2009, 20:41 ]
Tytuł: 
Maciek pisze:
5. Odciąć serwer od netu i zamknąć go w szafie pancernej, co jest zdecydowanie najbezpieczniejsze.


Nie koniecznie najbezpieczniejsze - do szafy pancernej też da się włamać.
Autor:  PtX [ czwartek, 29 stycznia 2009, 21:48 ]
Tytuł: 
Zainstalowałem pakiet fail2ban i na razie daje jest OK Ustawiłem Ban na 2 godziny po pierwszym złym wpisanym loginu/hasła. A za drugim razem BAN na cały rok z góry GRATIS :D. Mam spokój w logu auth widzę tylko moje połączenia. Zdarzyło się tylko 1 błędne logowanie ale zakończyło się BAN'anem na cały rok :).

Cytuj:
5. Odciąć serwer od netu i zamknąć go w szafie pancernej, co jest zdecydowanie najbezpieczniejsze.


To logicznie myśląc mija się z celem :P Po co router który nie jest podłączony do sieci? Nie miałem pieniędzy żeby kupić sprzętowy router to pogrzebałem po necie, natrafiłem na NND i poskładałem sobie routerka.
I aż żal w d*** ściska jak widzę, że ktoś próbuje mi to zniszczyć próbując włamać się do niego :evil: Wiem, że prób włamań nie da się uniknąć :D Co człowiek stworzył to człowiek potrafi zniszczyć. Tak przy okazji bo nie chce zakładać nowego tematu: Czy dało by się zrobić AP z karty sieciowej Pentagram Hornet ? Nie pamiętam teraz na jakim układzie ona była ale chyba Hornety miały chyba 1. Nie wiem czy kupić AP z Linksysa WAP11.
Autor:  Maciek [ czwartek, 29 stycznia 2009, 22:23 ]
Tytuł: 
Na dwie godziny? na rok? Gdzieś ty tam takie opcje konfiguracyjne znalazł...
poza tym, nawet adminowi zdarza się pomyłka, nie chciałbyś będąc na wczasach odciąć sobie dostępu do serwera na dwie godziny w chwili, gdy potrzebna jest szybka interwencja. Zatem nie ustawia się nigdy ilości prób na 1. Po drugie - domyślne ustawienia czasu banowania w pliku jail.conf są w sekundach, ile tych sekund dla roku ustawiłeś :D
Po trzecie po reboocie i tak szlag trafia wszystkie bany :D
Autor:  viater [ czwartek, 29 stycznia 2009, 23:28 ]
Tytuł: 
Maciek pisze:
[ciach]
Po trzecie po reboocie i tak szlag trafia wszystkie bany :D

I nie tylko po reboocie, po rotacji logów niestety też...
Autor:  Maciek [ piątek, 30 stycznia 2009, 01:06 ]
Tytuł: 
Dlaczego niestety?
Kiedyś na Freesco miałem działający portsentry, który ładnie dopisywał się do pliku banlist.cfg - jak się ktoś próbował tak czy owak włamywać. Przez jakiś czas nie czyściłem pliku i jak się po paru miesiącach zdarzył reboot, to same zasady firewalla się 10 minut wczytywały :D
Autor:  PtX [ piątek, 30 stycznia 2009, 13:55 ]
Tytuł: 
I po pierwsze: mam dostęp w domu do routerka wiec to nie problem podłaczyć monitor i się zalogować lokalnie. Tak jak pisałem wyżej routera używam tylko do użytku domowego (prywatnego) i w sieci mam 4 komputery + laptop czyli 5 to dla mnie nie jest wielki problem :D.

Po drugie:
Powiem tak :D Grzebałem conieco w tych pliczkach :D Angielski znam to natknąłem się w tym pliczku jail.conf na ilosc czasu od pierwszego wpisania zlego hasła (ustawiłem na 7200 sekund) a potem w time baned ustawilem na:

365 * 24 * 3600 = 31536000

ale nie wpisałem tak jak obliczyłem tylko 31530000 podarowałem sobie jakieś 2 godziny :D.

I jestem zadowolony. W logu auth rzadko się pojawia już info o złym loginie/haśle czyli o próbie włamania. Za to w fail2banlog jest tego nieco więcej. Na dzień licze jakieś 3 próby tam są.

Plik auth zajmuje 3 KB a fail2banlog 13 KB. To nie to co wczesniej ze logi auth.1-7 miały w sumie jakieś 30 MB :D

Odkąd zainstalowałem NND, po konfigurowałem to od jakiś 3 tygodni serwer stoi twardo i nie zwiesza się. Chociaż jak napisałeś Maćku, że po kilku miesiącach zdarzył Ci się reboot no to wtedy może poczuje o co Ci chodziło:D. Dodam jeszcze, że awaryjnym zasilaniem jest dla niego UPS 300VA wiec daje rade. Na jakieś pół godziny do udźwignie.
Autor:  viater [ piątek, 30 stycznia 2009, 16:51 ]
Tytuł: 
Maciek pisze:
Dlaczego niestety?

Bo jak kogoś zbanuje o 0:01 to już po 0:02 będzie odbanowany.

Maciek pisze:
Kiedyś na Freesco miałem działający portsentry, który ładnie dopisywał się do pliku banlist.cfg - jak się ktoś próbował tak czy owak włamywać. Przez jakiś czas nie czyściłem pliku i jak się po paru miesiącach zdarzył reboot, to same zasady firewalla się 10 minut wczytywały :D

Dlatego nie pisałem, że powinien pamiętać wszystkie bany po restarcie, ale po "reload" (przy rotacji logów) to mógłby, chociażby z uwagi na to, o czym napisałem na wstępie.
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/