[Sysadmins] SSH Brute force

[Sysadmins] SSH Brute force

[Dmitriy L. Kruglikov]

Доброго времени суток, уважаемые.

Есть у нас один стрелец, шибко грамотный, стервец... (С) "Про Федота..."

Так вот, он, гад, постоянно пытается поиметь мой сервер путем подбора
пароля к моему SSHd ...

При чем, характерная особенность: Наличие строки 
Received disconnect from 64.238.37.22: 11: Bye Bye
Особенно "Bye Bye" ...

Подскажите, если кто знает, чем он это делает...

Честно обещаю, только для внутреннего применения :)

А тому, кто скажет, ни чего не будет, кроме моей благодарности :)

А если мне удастся настроить защиту от такого рода атак, расскажу всем.


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] SSH Brute force

[Eugene A. Suchkov]

В сообщении от 17 марта 2006 11:20 Dmitriy L. Kruglikov написал(a):

> А если мне удастся настроить защиту от такого рода атак, расскажу всем.

Вроде как iptables можно настроить ограничение на количество попыток коннекта 
в "квант" времени.

-- 
With best regards
Eugene A. Suchkov (a.k.a CityHawk)
JID suchkoff@jabber.ru
http://suchkoff.livejournal.com

Re: [Sysadmins] SSH Brute force

[Serge Kompan]

В сообщении от Пятница 17 Март 2006 10:20 Dmitriy L. Kruglikov написал(a):
> Доброго времени суток, уважаемые.
>
> Есть у нас один стрелец, шибко грамотный, стервец... (С) "Про Федота..."
>
> Так вот, он, гад, постоянно пытается поиметь мой сервер путем подбора
> пароля к моему SSHd ...
>
> При чем, характерная особенность: Наличие строки
> Received disconnect from 64.238.37.22: 11: Bye Bye
> Особенно "Bye Bye" ...
>
> Подскажите, если кто знает, чем он это делает...
>
> Честно обещаю, только для внутреннего применения :)
>
> А тому, кто скажет, ни чего не будет, кроме моей благодарности :)
>
> А если мне удастся настроить защиту от такого рода атак, расскажу всем.
может поможет Вам пакеты portsentry, iptables?

Re: [Sysadmins] SSH Brute force

[Dmitriy L. Kruglikov]

On Fri, 17 Mar 2006 11:20:38 +0300
Eugene A. Suchkov wrote:

> В сообщении от 17 марта 2006 11:20 Dmitriy L. Kruglikov написал(a):
> 
> > А если мне удастся настроить защиту от такого рода атак, расскажу всем.
> 
> Вроде как iptables можно настроить ограничение на количество попыток коннекта 
> в "квант" времени.
> 
Можно и настроить .... Но мне нужна сама программа, генерирующая эту
атаку ... Исключительно для проверки того, что я настрою ...
Я же, в данный момент пытаюсь настроить Snort + BlockIt ...
Которые, совместно, пишут правила в iptables ...

Некоторые атаки ловятся уже ... Но не все ...
Сейчас экспериментирую с threshold в правилах ...

Но имитировать атаку все равно нужно, чтоб увидеть, что правила
срабатывают правильно ...


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] SSH Brute force

[Dmitriy L. Kruglikov]

On Fri, 17 Mar 2006 10:29:05 +0200
Serge Kompan wrote:

> может поможет Вам пакеты portsentry, iptables?

portsentry вешается на порты, на которые ни кто и ни когда заходить не
должен.
Отслеживается сам факт попытки доступа к этим портам ...
Например, сканирование диапазона 1-1024 ...
При этом, portsentry висит на портах 1, 7, 9, 23 ...
И при получении пакета на порт 1, или 7, срабатывает правило
и адрес "лучшего друга" пишется в iptables ...
Подвесить portsentry на порт 22 нельзя, так как я сам потом не смогу
зайти на свой сервер из-вне ... :)

Как вариант, можно подвесить sshd на любой другой адрес, например
222222, а portsentry навесить на 22 порт ...

Но мне нужна сама программа для атаки ... :)

P.S. Для получения правильного ответа нужно задать правильный вопрос.
Я, вроде бы задал вопрос вполне ясно и понятно:
Мне нужна программа, которая выполняет атаку на сервис SSHD.
И характерная особенность этой программы, наличие строки:
Received disconnect from ххх.ххх.ххх.ххх: хх: Bye Bye

Нужно ли отвечать на вопросы, которых я не задавал?
--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] SSH Brute force

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 424 bytes --]

* Dmitriy L. Kruglikov <Dmitriy.Kruglikov@> [060317 11:21]:
> А если мне удастся настроить защиту от такого рода атак, расскажу всем.
Protocol 2
PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication no
AllowGroups sshusers

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 191 bytes --]

Re: [Sysadmins] SSH Brute force

[Dmitriy L. Kruglikov]

On Fri, 17 Mar 2006 11:46:28 +0300
Alexey I. Froloff wrote:

> * Dmitriy L. Kruglikov <Dmitriy.Kruglikov@> [060317 11:21]:
> > А если мне удастся настроить защиту от такого рода атак, расскажу всем.
> Protocol 2
> PermitRootLogin no
> PubkeyAuthentication yes
> PasswordAuthentication no
> AllowGroups sshusers
> 
Я бы порекомендовал еще:
LoginGraceTime 30 - ограничение времени ожидания ввода пароля.
MaxStartups 2:70:10 - ограничение сессий, ожидающих ввода пароля.
Где 	2 - количество сесстий, 
	70 - % вероятности отказа, 
	10 - % превышения разрешенных сессий.
AllowUsers superuser - явное указание разрешенного пользователя.
DenyUsers bin nobody - явный запрет пользователей.


Но дело не в том...

Представьте себе свой дом...
И, какие бы крепкие двери в нем не были, всегда найдется умелец,
который подберет ключик к вашему замку ...

И представьте себе ваши ощущения, когда вы сидите и смотрите телевизор,
а какое-то дерьмо шуршит ключами и отмычками в замочной скважине...

Неужели будете сидеть спокойно, и не выйдете в рыло двинуть?


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] SSH Brute force

[Беляев В.Н.]

Hello Dmitriy,

Friday, March 17, 2006, 1:46:20 PM, you wrote:

DLK> Но мне нужна сама программа для атаки ... :)

DLK> P.S. Для получения правильного ответа нужно задать правильный вопрос.
DLK> Я, вроде бы задал вопрос вполне ясно и понятно:
DLK> Мне нужна программа, которая выполняет атаку на сервис SSHD.
DLK> И характерная особенность этой программы, наличие строки:
DLK> Received disconnect from ххх.ххх.ххх.ххх: хх: Bye Bye

А может атака делается скриптом?


-- 
С уважением, Беляев
ICQ: 119181289

Re: [Sysadmins] SSH Brute force

[Беляев В.Н.]

Hello Dmitriy,

Friday, March 17, 2006, 1:20:24 PM, you wrote:

DLK> Доброго времени суток, уважаемые.

DLK> Есть у нас один стрелец, шибко грамотный, стервец... (С) "Про Федота..."

DLK> Так вот, он, гад, постоянно пытается поиметь мой сервер путем подбора
DLK> пароля к моему SSHd ...

DLK> При чем, характерная особенность: Наличие строки 
DLK> Received disconnect from 64.238.37.22: 11: Bye Bye
DLK> Особенно "Bye Bye" ...

А весь лог соединения с этим "стрельцом" не покажете?

-- 
С уважением, Беляев
ICQ: 119181289

Re: [Sysadmins] [JT] SSH Brute force

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 403 bytes --]

On Fri, Mar 17, 2006 at 11:04:52AM +0200, Dmitriy L. Kruglikov wrote:
> Представьте себе свой дом...
> И, какие бы крепкие двери в нем не были, всегда найдется умелец,
> который подберет ключик к вашему замку ...
> 
> И представьте себе ваши ощущения, когда вы сидите и смотрите телевизор,
> а какое-то дерьмо шуршит ключами и отмычками в замочной скважине...

... фальш-замка :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

Re: [Sysadmins] SSH Brute force

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 608 bytes --]

On Fri, Mar 17, 2006 at 10:20:24AM +0200, Dmitriy L. Kruglikov wrote:
> Доброго времени суток, уважаемые.
> 
> Есть у нас один стрелец, шибко грамотный, стервец... (С) "Про Федота..."
> 
> Так вот, он, гад, постоянно пытается поиметь мой сервер путем подбора
> пароля к моему SSHd ...
> 
> При чем, характерная особенность: Наличие строки 
> Received disconnect from 64.238.37.22: 11: Bye Bye
> Особенно "Bye Bye" ...
> 
> Подскажите, если кто знает, чем он это делает...

Посмотрите для начала
http://a.mongers.org/muppets/20040808-sshscan-1
- одна из первых ссылок в google.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 191 bytes --]

Re: [Sysadmins] SSH Brute force

[Michael Shigorin]

On Fri, Mar 17, 2006 at 11:04:52AM +0200, Dmitriy L. Kruglikov wrote:
> И представьте себе ваши ощущения, когда вы сидите и смотрите телевизор,
> а какое-то дерьмо шуршит ключами и отмычками в замочной скважине...
> Неужели будете сидеть спокойно, и не выйдете в рыло двинуть?

Если каждому ходить двинуть, то когда спать?

Не нравится -- apt-get install knock-server, но если не держать
слабых логинов и не иметь привычки к useradd test "по-быстрому"
-- точно так же можно игнорировать стучащие в окно осенней порой
ветки...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Sysadmins] [faq] Re: SSH Brute force

[Michael Shigorin]

On Fri, Mar 17, 2006 at 04:53:59PM +0300, Dmitry V. Levin wrote:
> http://a.mongers.org/muppets/20040808-sshscan-1

On Fri, Mar 17, 2006 at 11:46:28AM +0300, Alexey I. Froloff wrote:
> Protocol 2
> PermitRootLogin no
> PubkeyAuthentication yes
> PasswordAuthentication no
> AllowGroups sshusers

http://faq.altlinux.ru/index.php?action=single&nf=1&qid=827

Дополнения принимаются.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] SSH Brute force

[Dmitriy L. Kruglikov]

On Fri, 17 Mar 2006 16:53:59 +0300
Dmitry V. Levin wrote:

> 
> Посмотрите для начала
> http://a.mongers.org/muppets/20040808-sshscan-1
> - одна из первых ссылок в google.
Я, конечно, в буржуйском не силен .... И это еще мягко сказано ...
Но строка 20040808 говорит мне о дате написания этой статьи ...
А сегодня у нас 20060317 ...
И я ни где там не нашел ссылки на саму программу .... 
Только на ее название ... :(


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] SSH Brute force

[Dmitriy L. Kruglikov]

On Fri, 17 Mar 2006 15:59:43 +0200
Michael Shigorin wrote:

> On Fri, Mar 17, 2006 at 11:04:52AM +0200, Dmitriy L. Kruglikov wrote:
> > И представьте себе ваши ощущения, когда вы сидите и смотрите телевизор,
> > а какое-то дерьмо шуршит ключами и отмычками в замочной скважине...
> > Неужели будете сидеть спокойно, и не выйдете в рыло двинуть?
> 
> Если каждому ходить двинуть, то когда спать?

"Правильный" админ пишет скрипт, который "двигает" тому, кто 
попадает в диапазон, описанный в правилах...
Но я до этого еще не добрался :)
Пока только в iptables запишу ... :)
И, думается мне, на этом и ограничусь...

"... ну выпил бутылку, ну две...
А нажираться-то зачем?"

> точно так же можно игнорировать стучащие в окно осенней порой
> ветки...
Все зависит от силы ветра и толщины ветки ...
Может и окошко высадить в /dev/null ... 
Если уж на такие аналогии переходить... 
Так что, не реагировать совсем, то же не дело ...

А вот найти "золотую середину" ...
Тут и пароли сложные, тут и /sbin/nologin в качестве shell ...
И описаные ранее настройки sshd...
И так далее ...

--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov@orionagro.com.ua      |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
                                       (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/

Re: [Sysadmins] SSH Brute force

[Dank Bagryantsev]

Здравствуйте, Dmitriy.

Вы писали 17 марта 2006 г., 10:20:24:

DLK> Есть у нас один стрелец, шибко грамотный, стервец... (С) "Про Федота..."

DLK> Так вот, он, гад, постоянно пытается поиметь мой сервер путем подбора
DLK> пароля к моему SSHd ...

DLK> При чем, характерная особенность: Наличие строки 
DLK> Received disconnect from 64.238.37.22: 11: Bye Bye
DLK> Особенно "Bye Bye" ...

DLK> Подскажите, если кто знает, чем он это делает...

DLK> Честно обещаю, только для внутреннего применения :)

DLK> А тому, кто скажет, ни чего не будет, кроме моей благодарности :)

:)
Не знаю, этим ли подбирают, но можете посмотреть например здесь:
THC-Hydra
 A very fast network logon cracker which support many different services
 Last update 2006-01-23
http://thc.org/thc-hydra/


DLK> А если мне удастся настроить защиту от такого рода атак, расскажу всем.

Вот, нашел в течении 10 минут поиска, но не разбирался...

Fail2Ban scans log files like /var/log/pwdfail or
/var/log/apache/error_log and bans IP that makes too many password
failures. It updates firewall rules to reject the IP address.
http://fail2ban.sourceforge.net
http://www.the-art-of-web.com/system/fail2ban/

pam_abl
Provides auto blacklisting of hosts and users responsible for repeated
failed authentication attempts. Generally configured so that
blacklisted users still see normal login prompts but are guaranteed to
fail to authenticate.   
http://www.hexten.net/pam_abl/

-- sshdfilter V1.4.2 --
ssh brute force attack blocker 
Introduction
sshdfilter blocks the frequent brute force attacks on ssh daemons, it
does this by directly reading the sshd logging output and generating
iptables rules, the process can be quick enough to block an attack
before they get a chance to enter any password at all.   
http://www.csc.liv.ac.uk/~greg/sshdfilter/

-- 
С уважением,
 Dank