ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] ssh и лжеруты
@ 2010-04-30 10:20 Vaso VV
  2010-04-30 10:44 ` Alexander Wolf
                   ` (6 more replies)
  0 siblings, 7 replies; 13+ messages in thread
From: Vaso VV @ 2010-04-30 10:20 UTC (permalink / raw)
  To: community

Вот вчера вечером сидел и наблюдал на 12-ой консоли, как какие-то 
"аццкие хацкеры" с сербского и венгерского айпишников старательно 
пытаются вломится под рутом через ssh:

Unable to check blacklist for host key 
9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
Unable to check blacklist for host key 
a8:66:49:11:8e:cc:ca:24:f6:05:ba:ef:45:39:25:9f
Failed password for ROOT USER root from 161.53.39.73 port 43235 ssh2
Received disconnect from 161.53.39.73: 11: Goodbye
и
Unable to check blacklist for host key 
9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
Unable to check blacklist for host key 
a8:66:49:11:8e:cc:ca:24:f6:05:ba:ef:45:39:25:9f
Failed password for ROOT USER root from 81.182.200.164 port 3851 ssh2
Received disconnect from 81.182.200.164: 11: Goodbye
- и так много раз.

Я понимаю, что шансов у ребят немного, но вот в душе дискомфорт 
какой-то, да и логи страшно загаживаются:
# grep -ic sshd /var/log/syslog/messages
13954

А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник 
блокировался?


-- 
WBR........[ ]
TFTHAOT....[x]
AMF........[ ]


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
@ 2010-04-30 10:44 ` Alexander Wolf
  2010-04-30 10:57 ` Alexei V. Mezin
                   ` (5 subsequent siblings)
  6 siblings, 0 replies; 13+ messages in thread
From: Alexander Wolf @ 2010-04-30 10:44 UTC (permalink / raw)
  To: community

30.04.2010 17:20, Vaso VV пишет:
> Вот вчера вечером сидел и наблюдал на 12-ой консоли, как какие-то
> "аццкие хацкеры" с сербского и венгерского айпишников старательно
> пытаются вломится под рутом через ssh:
[skip]
> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник
> блокировался?

Установить и настроить пакет fail2ban

http://sisyphus.ru/ru/srpm/Sisyphus/fail2ban


-- 
With best regards, Alexander Wolf


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
  2010-04-30 10:44 ` Alexander Wolf
@ 2010-04-30 10:57 ` Alexei V. Mezin
  2010-04-30 11:17 ` Motsyo Gennadi aka Drool
                   ` (4 subsequent siblings)
  6 siblings, 0 replies; 13+ messages in thread
From: Alexei V. Mezin @ 2010-04-30 10:57 UTC (permalink / raw)
  To: ALT Linux Community general discussions

30.04.2010 14:20, Vaso VV пишет:

> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник
> блокировался?
>

apt-cache search sshutout


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
  2010-04-30 10:44 ` Alexander Wolf
  2010-04-30 10:57 ` Alexei V. Mezin
@ 2010-04-30 11:17 ` Motsyo Gennadi aka Drool
  2010-04-30 12:30 ` Vaso VV
                   ` (3 subsequent siblings)
  6 siblings, 0 replies; 13+ messages in thread
From: Motsyo Gennadi aka Drool @ 2010-04-30 11:17 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Vaso VV пишет:
> Я понимаю, что шансов у ребят немного, но вот в душе дискомфорт 
> какой-то, да и логи страшно загаживаются:
> # grep -ic sshd /var/log/syslog/messages
> 13954
> 
> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник 
> блокировался?

	У меня домашний роутер на протяжении свыше двух суток какие-то китайцы 
брутфорсили так, что винчестер практически не останавливался. Сделал 
просто и сердито - авторизацию по ключу и перевел доступ с 22-го порта 
на совершенно другой. Тишина и спокойствие.


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
                   ` (2 preceding siblings ...)
  2010-04-30 11:17 ` Motsyo Gennadi aka Drool
@ 2010-04-30 12:30 ` Vaso VV
  2010-04-30 13:29 ` Denis Nazarov
                   ` (2 subsequent siblings)
  6 siblings, 0 replies; 13+ messages in thread
From: Vaso VV @ 2010-04-30 12:30 UTC (permalink / raw)
  To: community

Всем спасибо! Но пасаран!

-- 
WBR........[ ]
TFTHAOT....[x]
AMF........[ ]


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
                   ` (3 preceding siblings ...)
  2010-04-30 12:30 ` Vaso VV
@ 2010-04-30 13:29 ` Denis Nazarov
  2010-04-30 13:30   ` Andrey Rahmatullin
  2010-04-30 13:46 ` Sergey
  2010-05-05  6:48 ` Vaso VV
  6 siblings, 1 reply; 13+ messages in thread
From: Denis Nazarov @ 2010-04-30 13:29 UTC (permalink / raw)
  To: ALT Linux Community general discussions

В сообщении от Пятница 30 апреля 2010 16:20:20 автор Vaso VV написал:
> Вот вчера вечером сидел и наблюдал на 12-ой консоли, как какие-то
> "аццкие хацкеры" с сербского и венгерского айпишников старательно
> пытаются вломится под рутом через ssh:
> 
> Unable to check blacklist for host key
> 9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
> Unable to check blacklist for host key
> a8:66:49:11:8e:cc:ca:24:f6:05:ba:ef:45:39:25:9f
> Failed password for ROOT USER root from 161.53.39.73 port 43235 ssh2
> Received disconnect from 161.53.39.73: 11: Goodbye
> и
> Unable to check blacklist for host key
> 9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
> Unable to check blacklist for host key
> a8:66:49:11:8e:cc:ca:24:f6:05:ba:ef:45:39:25:9f
> Failed password for ROOT USER root from 81.182.200.164 port 3851 ssh2
> Received disconnect from 81.182.200.164: 11: Goodbye
> - и так много раз.
> 
> Я понимаю, что шансов у ребят немного, но вот в душе дискомфорт
> какой-то, да и логи страшно загаживаются:
> # grep -ic sshd /var/log/syslog/messages
> 13954
> 
> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник
> блокировался?
> 
сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и 
спокойствие всегда

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 13:29 ` Denis Nazarov
@ 2010-04-30 13:30   ` Andrey Rahmatullin
  2010-04-30 13:57     ` Slava Dubrovskiy
  0 siblings, 1 reply; 13+ messages in thread
From: Andrey Rahmatullin @ 2010-04-30 13:30 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 350 bytes --]

On Fri, Apr 30, 2010 at 07:29:03PM +0600, Denis Nazarov wrote:
> сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и 
> спокойствие всегда
+1

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

> Вот и предлагается приступить к автоматизации.
Да никто не против, приступайте.
		-- vyt in docs@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
                   ` (4 preceding siblings ...)
  2010-04-30 13:29 ` Denis Nazarov
@ 2010-04-30 13:46 ` Sergey
  2010-04-30 20:13   ` MisHel64
  2010-05-05  6:48 ` Vaso VV
  6 siblings, 1 reply; 13+ messages in thread
From: Sergey @ 2010-04-30 13:46 UTC (permalink / raw)
  To: ALT Linux Community general discussions

On Friday 30 April 2010, Vaso VV wrote:

> Unable to check blacklist for host key 
> 9f:36:60:a9:f4:46:b4:2c:4a:1b:1e:cc:06:92:79:d8
 
Чтобы вот этого не было, надо сказать: apt-get install openssh-blacklist-utils

> А как бы сделать так, чтобы после 3-х неудачных авторизаций айпишник 
> блокировался?

Скорее всего, это червячок. Достаточно

-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP

За минуту он уйдёт и уже не вернётся. Разве что, сделав круг. А это
дооолго... Строчку с "-j LOG" можно не писать, в общем-то. 

-- 
С уважением, Сергей
a_s_y@sama.ru


^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 13:30   ` Andrey Rahmatullin
@ 2010-04-30 13:57     ` Slava Dubrovskiy
  2010-05-01  7:58       ` Andrey Rahmatullin
  0 siblings, 1 reply; 13+ messages in thread
From: Slava Dubrovskiy @ 2010-04-30 13:57 UTC (permalink / raw)
  To: ALT Linux Community general discussions

30.04.2010 16:30, Andrey Rahmatullin пишет:
> On Fri, Apr 30, 2010 at 07:29:03PM +0600, Denis Nazarov wrote:
>   
>> сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и 
>> спокойствие всегда
>>     
> +1
>   
Согласен. И для постфикса тоже.
И никаких спамеров. :-D

-- 
WBR,
Dubrovskiy Vyacheslav



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 13:46 ` Sergey
@ 2010-04-30 20:13   ` MisHel64
  0 siblings, 0 replies; 13+ messages in thread
From: MisHel64 @ 2010-04-30 20:13 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Здравствуйте, Sergey.

Вы писали 30 апреля 2010 г., 17:46:23:

> Скорее всего, это червячок. Достаточно

> -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN
> -m recent --set --name ssh_rate_limit --rsource
> -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN
> -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j LOG
> -A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN
> -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP

> За минуту он уйдёт и уже не вернётся. Разве что, сделав круг. А это
> дооолго... Строчку с "-j LOG" можно не писать, в общем-то. 

Этим же способом пользуюсь, различия только в деталях. И не только для
SSH.  Очень  способствует  очистке  логов  от всякого мусора, и спится
спокойней.


-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 13:57     ` Slava Dubrovskiy
@ 2010-05-01  7:58       ` Andrey Rahmatullin
  2010-05-03  6:04         ` Slava Dubrovskiy
  0 siblings, 1 reply; 13+ messages in thread
From: Andrey Rahmatullin @ 2010-05-01  7:58 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 561 bytes --]

On Fri, Apr 30, 2010 at 04:57:03PM +0300, Slava Dubrovskiy wrote:
> >> сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и 
> >> спокойствие всегда
> > +1
> Согласен. И для постфикса тоже.
> И никаких спамеров. :-D
Ээ, и как такой постфикс можно использовать? Или это исключительно
смартхост, не являющийся MX?

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(6):

<raorn> thresh: гыг. на DisplaySize ъцй ложит не intel, а xrandr. а i810 ложит
        хцй на xrandr и поэтому делает вид что работает ;-)

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 490 bytes --]

^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-05-01  7:58       ` Andrey Rahmatullin
@ 2010-05-03  6:04         ` Slava Dubrovskiy
  0 siblings, 0 replies; 13+ messages in thread
From: Slava Dubrovskiy @ 2010-05-03  6:04 UTC (permalink / raw)
  To: ALT Linux Community general discussions

01.05.2010 10:58, Andrey Rahmatullin пишет:
> On Fri, Apr 30, 2010 at 04:57:03PM +0300, Slava Dubrovskiy wrote:
>   
>>>> сразу после установки меняю порт на какой-нибудь пятизначный и все - тишина и 
>>>> спокойствие всегда
>>>>         
>>> +1
>>>       
>> Согласен. И для постфикса тоже.
>> И никаких спамеров. :-D
>>     
> Ээ, и как такой постфикс можно использовать? 
Никак. Это как пример лечения головной боли гильотиной. Вообшем шутка. :)

-- 
WBR,
Dubrovskiy Vyacheslav



^ permalink raw reply	[flat|nested] 13+ messages in thread

* Re: [Comm] ssh и лжеруты
  2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
                   ` (5 preceding siblings ...)
  2010-04-30 13:46 ` Sergey
@ 2010-05-05  6:48 ` Vaso VV
  6 siblings, 0 replies; 13+ messages in thread
From: Vaso VV @ 2010-05-05  6:48 UTC (permalink / raw)
  To: community

Спасибо всем за помощь!

-- 
WBR........[ ]
TFTHAOT....[x]
AMF........[ ]


^ permalink raw reply	[flat|nested] 13+ messages in thread

end of thread, other threads:[~2010-05-05  6:48 UTC | newest]

Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-04-30 10:20 [Comm] ssh и лжеруты Vaso VV
2010-04-30 10:44 ` Alexander Wolf
2010-04-30 10:57 ` Alexei V. Mezin
2010-04-30 11:17 ` Motsyo Gennadi aka Drool
2010-04-30 12:30 ` Vaso VV
2010-04-30 13:29 ` Denis Nazarov
2010-04-30 13:30   ` Andrey Rahmatullin
2010-04-30 13:57     ` Slava Dubrovskiy
2010-05-01  7:58       ` Andrey Rahmatullin
2010-05-03  6:04         ` Slava Dubrovskiy
2010-04-30 13:46 ` Sergey
2010-04-30 20:13   ` MisHel64
2010-05-05  6:48 ` Vaso VV

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git