* [Comm] ssh и лжеруты
@ 2010-04-30 10:20 Vaso VV
2010-04-30 10:44 ` Alexander Wolf
` (6 more replies)
0 siblings, 7 replies; 13+ messages in thread
From: Vaso VV @ 2010-04-30 10:20 UTC (permalink / raw)
To: community
Вот вчера вечером сидел и наблюдал на 12-ой консоли, как какие-то
"аццкие хацкеры" с сербского и венгерского айпишников старательно
пытаются вломится под рутом через ssh:
Unable to check blacklist for host key
9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
Unable to check blacklist for host key
a8:66:49:11:8e:cc:ca:24:f6:05:ba:ef:45:39:25:9f
Failed password for ROOT USER root from 161.53.39.73 port 43235 ssh2
Received disconnect from 161.53.39.73: 11: Goodbye
и
Unable to check blacklist for host key
9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
Unable to check blacklist for host key
a8:66:49:11:8e:cc:ca:24:f6:05:ba:ef:45:39:25:9f
Failed password for ROOT USER root from 81.182.200.164 port 3851 ssh2
Received disconnect from 81.182.200.164: 11: Goodbye
- и так много раз.
Я понимаю, что шансов у ребят немного, но вот в душе дискомфорт
какой-то, да и логи страшно загаживаются:
# grep -ic sshd /var/log/syslog/messages
13954
А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник
блокировался?
--
WBR........[ ]
TFTHAOT....[x]
AMF........[ ]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
@ 2010-04-30 10:44 ` Alexander Wolf
2010-04-30 10:57 ` Alexei V. Mezin
` (5 subsequent siblings)
6 siblings, 0 replies; 13+ messages in thread
From: Alexander Wolf @ 2010-04-30 10:44 UTC (permalink / raw)
To: community
30.04.2010 17:20, Vaso VV пишет:
> Вот вчера вечером сидел и наблюдал на 12-ой консоли, как какие-то
> "аццкие хацкеры" с сербского и венгерского айпишников старательно
> пытаются вломится под рутом через ssh:
[skip]
> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник
> блокировался?
Установить и настроить пакет fail2ban
http://sisyphus.ru/ru/srpm/Sisyphus/fail2ban
--
With best regards, Alexander Wolf
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
2010-04-30 10:44 ` Alexander Wolf
@ 2010-04-30 10:57 ` Alexei V. Mezin
2010-04-30 11:17 ` Motsyo Gennadi aka Drool
` (4 subsequent siblings)
6 siblings, 0 replies; 13+ messages in thread
From: Alexei V. Mezin @ 2010-04-30 10:57 UTC (permalink / raw)
To: ALT Linux Community general discussions
30.04.2010 14:20, Vaso VV пишет:
> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник
> блокировался?
>
apt-cache search sshutout
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
2010-04-30 10:44 ` Alexander Wolf
2010-04-30 10:57 ` Alexei V. Mezin
@ 2010-04-30 11:17 ` Motsyo Gennadi aka Drool
2010-04-30 12:30 ` Vaso VV
` (3 subsequent siblings)
6 siblings, 0 replies; 13+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-04-30 11:17 UTC (permalink / raw)
To: ALT Linux Community general discussions
Vaso VV пишет:
> Я понимаю, что шансов у ребят немного, но вот в душе дискомфорт
> какой-то, да и логи страшно загаживаются:
> # grep -ic sshd /var/log/syslog/messages
> 13954
>
> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник
> блокировался?
У меня домашний роутер на протяжении свыше двух суток какие-то китайцы
брутфорсили так, что винчестер практически не останавливался. Сделал
просто и сердито - авторизацию по ключу и перевел доступ с 22-го порта
на совершенно другой. Тишина и спокойствие.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
` (2 preceding siblings ...)
2010-04-30 11:17 ` Motsyo Gennadi aka Drool
@ 2010-04-30 12:30 ` Vaso VV
2010-04-30 13:29 ` Denis Nazarov
` (2 subsequent siblings)
6 siblings, 0 replies; 13+ messages in thread
From: Vaso VV @ 2010-04-30 12:30 UTC (permalink / raw)
To: community
Всем спасибо! Но пасаран!
--
WBR........[ ]
TFTHAOT....[x]
AMF........[ ]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
` (3 preceding siblings ...)
2010-04-30 12:30 ` Vaso VV
@ 2010-04-30 13:29 ` Denis Nazarov
2010-04-30 13:30 ` Andrey Rahmatullin
2010-04-30 13:46 ` Sergey
2010-05-05 6:48 ` Vaso VV
6 siblings, 1 reply; 13+ messages in thread
From: Denis Nazarov @ 2010-04-30 13:29 UTC (permalink / raw)
To: ALT Linux Community general discussions
В сообщении от Пятница 30 апреля 2010 16:20:20 автор Vaso VV написал:
> Вот вчера вечером сидел и наблюдал на 12-ой консоли, как какие-то
> "аццкие хацкеры" с сербского и венгерского айпишников старательно
> пытаются вломится под рутом через ssh:
>
> Unable to check blacklist for host key
> 9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
> Unable to check blacklist for host key
> a8:66:49:11:8e:cc:ca:24:f6:05:ba:ef:45:39:25:9f
> Failed password for ROOT USER root from 161.53.39.73 port 43235 ssh2
> Received disconnect from 161.53.39.73: 11: Goodbye
> и
> Unable to check blacklist for host key
> 9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
> Unable to check blacklist for host key
> a8:66:49:11:8e:cc:ca:24:f6:05:ba:ef:45:39:25:9f
> Failed password for ROOT USER root from 81.182.200.164 port 3851 ssh2
> Received disconnect from 81.182.200.164: 11: Goodbye
> - и так много раз.
>
> Я понимаю, что шансов у ребят немного, но вот в душе дискомфорт
> какой-то, да и логи страшно загаживаются:
> # grep -ic sshd /var/log/syslog/messages
> 13954
>
> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник
> блокировался?
>
сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и
спокойствие всегда
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 13:29 ` Denis Nazarov
@ 2010-04-30 13:30 ` Andrey Rahmatullin
2010-04-30 13:57 ` Slava Dubrovskiy
0 siblings, 1 reply; 13+ messages in thread
From: Andrey Rahmatullin @ 2010-04-30 13:30 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 350 bytes --]
On Fri, Apr 30, 2010 at 07:29:03PM +0600, Denis Nazarov wrote:
> сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и
> спокойствие всегда
+1
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
> Вот и предлагается приступить к автоматизации.
Да никто не против, приступайте.
-- vyt in docs@
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
` (4 preceding siblings ...)
2010-04-30 13:29 ` Denis Nazarov
@ 2010-04-30 13:46 ` Sergey
2010-04-30 20:13 ` MisHel64
2010-05-05 6:48 ` Vaso VV
6 siblings, 1 reply; 13+ messages in thread
From: Sergey @ 2010-04-30 13:46 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Friday 30 April 2010, Vaso VV wrote:
> Unable to check blacklist for host key
> 9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
Чтобы вот этого не было, надо сказать: apt-get install openssh-blacklist-utils
> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник
> блокировался?
Скорее всего, это червячок. Достаточно
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP
За минуту он уйдёт и уже не вернётся. Разве что, сделав круг. А это
дооолго... Строчку с "-j LOG" можно не писать, в общем-то.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 13:30 ` Andrey Rahmatullin
@ 2010-04-30 13:57 ` Slava Dubrovskiy
2010-05-01 7:58 ` Andrey Rahmatullin
0 siblings, 1 reply; 13+ messages in thread
From: Slava Dubrovskiy @ 2010-04-30 13:57 UTC (permalink / raw)
To: ALT Linux Community general discussions
30.04.2010 16:30, Andrey Rahmatullin пишет:
> On Fri, Apr 30, 2010 at 07:29:03PM +0600, Denis Nazarov wrote:
>
>> сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и
>> спокойствие всегда
>>
> +1
>
Согласен. И для постфикса тоже.
И никаких спамеров. :-D
--
WBR,
Dubrovskiy Vyacheslav
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 13:46 ` Sergey
@ 2010-04-30 20:13 ` MisHel64
0 siblings, 0 replies; 13+ messages in thread
From: MisHel64 @ 2010-04-30 20:13 UTC (permalink / raw)
To: ALT Linux Community general discussions
Здравствуйте, Sergey.
Вы писали 30 апреля 2010 г., 17:46:23:
> Скорее всего, это червячок. Достаточно
> -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN
> -m recent --set --name ssh_rate_limit --rsource
> -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN
> -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG
> -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN
> -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP
> За минуту он уйдёт и уже не вернётся. Разве что, сделав круг. А это
> дооолго... Строчку с "-j LOG" можно не писать, в общем-то.
Этим же способом пользуюсь, различия только в деталях. И не только для
SSH. Очень способствует очистке логов от всякого мусора, и спится
спокойней.
--
С уважением,
MisHel64 mailto:MisHel64@Bk.Ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 13:57 ` Slava Dubrovskiy
@ 2010-05-01 7:58 ` Andrey Rahmatullin
2010-05-03 6:04 ` Slava Dubrovskiy
0 siblings, 1 reply; 13+ messages in thread
From: Andrey Rahmatullin @ 2010-05-01 7:58 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 561 bytes --]
On Fri, Apr 30, 2010 at 04:57:03PM +0300, Slava Dubrovskiy wrote:
> >> сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и
> >> спокойствие всегда
> > +1
> Согласен. И для постфикса тоже.
> И никаких спамеров. :-D
Ээ, и как такой постфикс можно использовать? Или это исключительно
смартхост, не являющийся MX?
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):
<raorn> thresh: гыг. на DisplaySize ъцй ложит не intel, а xrandr. а i810 ложит
хцй на xrandr и поэтому делает вид что работает ;-)
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-05-01 7:58 ` Andrey Rahmatullin
@ 2010-05-03 6:04 ` Slava Dubrovskiy
0 siblings, 0 replies; 13+ messages in thread
From: Slava Dubrovskiy @ 2010-05-03 6:04 UTC (permalink / raw)
To: ALT Linux Community general discussions
01.05.2010 10:58, Andrey Rahmatullin пишет:
> On Fri, Apr 30, 2010 at 04:57:03PM +0300, Slava Dubrovskiy wrote:
>
>>>> сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и
>>>> спокойствие всегда
>>>>
>>> +1
>>>
>> Согласен. И для постфикса тоже.
>> И никаких спамеров. :-D
>>
> Ээ, и как такой постфикс можно использовать?
Никак. Это как пример лечения головной боли гильотиной. Вообшем шутка. :)
--
WBR,
Dubrovskiy Vyacheslav
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Comm] ssh и лжеруты
2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
` (5 preceding siblings ...)
2010-04-30 13:46 ` Sergey
@ 2010-05-05 6:48 ` Vaso VV
6 siblings, 0 replies; 13+ messages in thread
From: Vaso VV @ 2010-05-05 6:48 UTC (permalink / raw)
To: community
Спасибо всем за помощь!
--
WBR........[ ]
TFTHAOT....[x]
AMF........[ ]
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2010-05-05 6:48 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
2010-04-30 10:44 ` Alexander Wolf
2010-04-30 10:57 ` Alexei V. Mezin
2010-04-30 11:17 ` Motsyo Gennadi aka Drool
2010-04-30 12:30 ` Vaso VV
2010-04-30 13:29 ` Denis Nazarov
2010-04-30 13:30 ` Andrey Rahmatullin
2010-04-30 13:57 ` Slava Dubrovskiy
2010-05-01 7:58 ` Andrey Rahmatullin
2010-05-03 6:04 ` Slava Dubrovskiy
2010-04-30 13:46 ` Sergey
2010-04-30 20:13 ` MisHel64
2010-05-05 6:48 ` Vaso VV
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git