Re: Proba dostania sie przez SSH
Czesc! On Wed, Sep 07, 2005 at 10:29:05AM +0200, Pagi wrote: [...] Jak wnioskuje, ktos probowal metoda chybil/trafil dostac sie na maszyne. Z tego co przejzalem logi to sie nie udalo, ale czy da sie temu jakos zaradzic? W ten weekend wyczytalem na http://planet.debian.org/ o skrypcie ssh_login_blocker [1]. Na razie potrafi tylko blokowac adresy IP po okreslonej liczbie nieprawidlowych hasel lub loginow oraz odblokowywac je po uplywie okreslonego timeoutu. Jego autor mysli juz o innych ciekawych rozszerzeniach (tymczasowe i stale czarne listy, biala lista, itp.), wiec pewnie warto sie zainteresowac tym narzedziem. Poza tym mozna tez skorzystac z mozliwosci iptables, ktore potrafia tymczasowo blokowac adres IP po okreslonej liczbie prob zalogowania sie przez SSH. Wiecej na ten temat pod adresem [2]. Pozdrawiam, P. [1] - http://adam.rosi-kessel.org/weblog/free_software/code/ssh_login_blocker.html [2] - http://www.debian-administration.org/articles/187 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proba dostania sie przez SSH
Witam, Wednesday, September 7, 2005, 10:29:05 AM, napisałeś: Jest tego dzo wiecej... Jak wnioskuje, ktos probowal metoda chybil/trafil dostac sie na maszyne. Z tego co przejzalem logi to sie nie udalo, ale czy da sie temu jakos zaradzic? swego czasu tez mialem tego pelno na jednej maszynce probowalem wycinac klientow na iptebles ale nie na wiele sie to zdalo, bo co raz to nowe ipki sie pojawialy mi to wyglada na zwykly skrypt dla dzieciakow czy inny skaner problem zanikl calkowicie, gdy przenioslem ssh na inny port -- Pozdrawiam, Michałmailto:[EMAIL PROTECTED] -- www.kkr.org.pl www.wrc.net.pl -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proba dostania sie przez SSH
Michał Niezbecki napisał(a): swego czasu tez mialem tego pelno na jednej maszynce probowalem wycinac klientow na iptebles ale nie na wiele sie to zdalo, bo co raz to nowe ipki sie pojawialy mi to wyglada na zwykly skrypt dla dzieciakow czy inny skaner problem zanikl calkowicie, gdy przenioslem ssh na inny port Prawie masz racje, ale to rodzaj skryptu-robaka, który próbuje włamać się do losowej maszyny po ssh sprawdzając różne słownikowe hasła na typowe konta root/mysql/operator/... Oczywiście jak się mu uda to już ma kolejny przyczułek do prób włamań do kolejnych. Czy dodaje to jeszcze jakiegoś backdoora, to nie kojarzę ale pewnie tak. U mnie pojawią się też takie wpisy, ale nigdy nie trafiło to jeszcze na usera na którego może się zalogować po ssh ;) Przy typowym wykorzystaniu maszyny, wystarczy dbać o dobroć haseł i nie przejmować się. Ewentualnie blokować IP na krótkie okresy (24h), bo raczej małe szanse, że próby włamania wrócą to z tego samego IP. -- Pozdrawiam, Robert -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proba dostania sie przez SSH
05-09-08, Robert Skup [EMAIL PROTECTED] napisał(a): Michał Niezbecki napisał(a): swego czasu tez mialem tego pelno na jednej maszynce probowalem wycinac klientow na iptebles ale nie na wiele sie to zdalo, bo co raz to nowe ipki sie pojawialy mi to wyglada na zwykly skrypt dla dzieciakow czy inny skaner problem zanikl calkowicie, gdy przenioslem ssh na inny port Prawie masz racje, ale to rodzaj skryptu-robaka, który próbuje włamać się do losowej maszyny po ssh sprawdzając różne słownikowe hasła na typowe konta root/mysql/operator/... Oczywiście jak się mu uda to już ma kolejny przyczułek do prób włamań do kolejnych. Czy dodaje to jeszcze jakiegoś backdoora, to nie kojarzę ale pewnie tak. U mnie pojawią się też takie wpisy, ale nigdy nie trafiło to jeszcze na usera na którego może się zalogować po ssh ;) Przy typowym wykorzystaniu maszyny, wystarczy dbać o dobroć haseł i nie przejmować się. Ewentualnie blokować IP na krótkie okresy (24h), bo raczej małe szanse, że próby włamania wrócą to z tego samego IP. Może portsentry zablokuje takiego cwaniaka ? -- Pozdrawiam, Wojciech Ziniewicz | [EMAIL PROTECTED] Powered by google.com | [wanna gmail?]
Proba dostania sie przez SSH
Witam, W logach zauwazylem cos takiego (fragment) Sep 6 18:03:08 listonosz sshd[25747]: Failed password for illegal user 12345 from 209.250.150.73 port 50173 ssh2 Sep 6 18:03:09 listonosz sshd[13808]: Illegal user 1234 from 209.250.150.73 Sep 6 18:03:09 listonosz sshd[13808]: error: Could not get shadow information for NOUSER Sep 6 18:03:09 listonosz sshd[13808]: Failed password for illegal user 1234 from 209.250.150.73 port 50247 ssh2 Sep 6 18:03:11 listonosz sshd[10093]: Failed password for root from 209.250.150.73 port 50329 ssh2 Sep 6 18:03:13 listonosz sshd[28184]: Failed password for root from 209.250.150.73 port 50396 ssh2 Sep 6 18:03:15 listonosz sshd[4721]: Illegal user delli from 209.250.150.73 Sep 6 18:03:15 listonosz sshd[4721]: error: Could not get shadow information for NOUSER Sep 6 18:03:15 listonosz sshd[4721]: Failed password for illegal user delli from 209.250.150.73 port 50481 ssh2 Sep 6 18:03:16 listonosz sshd[29819]: Illegal user resconi from 209.250.150.73 Sep 6 18:03:16 listonosz sshd[29819]: error: Could not get shadow information for NOUSER Sep 6 18:03:16 listonosz sshd[29819]: Failed password for illegal user resconi from 209.250.150.73 port 50539 ssh2 Sep 6 18:03:18 listonosz sshd[3670]: Illegal user boschini from 209.250.150.73 Sep 6 18:03:18 listonosz sshd[3670]: error: Could not get shadow information for NOUSER Jest tego dzo wiecej... Jak wnioskuje, ktos probowal metoda chybil/trafil dostac sie na maszyne. Z tego co przejzalem logi to sie nie udalo, ale czy da sie temu jakos zaradzic? Pozdrawiam, Pagi -- Jedyny taki czat... http://link.interia.pl/f18b0
Re: Proba dostania sie przez SSH
Pagi wrote: W logach zauwazylem cos takiego (fragment) Sep 6 18:03:08 listonosz sshd[25747]: Failed password for illegal user 12345 from 209.250.150.73 port 50173 ssh2 Sep 6 18:03:09 listonosz sshd[13808]: Illegal user 1234 from 209.250.150.73 Sep 6 18:03:09 listonosz sshd[13808]: error: Could not get shadow information for NOUSER [ c i a c h ] Jest tego dzo wiecej... Jak wnioskuje, ktos probowal metoda chybil/trafil dostac sie na maszyne. Z tego co przejzalem logi to sie nie udalo, ale czy da sie temu jakos zaradzic? Może niekonwencjonalny to sposób, ale ja wykorzystuję do tego knockd - parokrotne pukanie na port 22 w pewnym odstępie czasu wywołuje skrypt edytujący plik firewalla i późniejsze jego przeładowanie. Bardziej pewnie nadaje się do tego np. snort. -- [ pozdrawiam, Maciej Suszko | .. http://osterode.art.pl/portfolio/ ... ] [ rlu:247800 ... gg:1671779 | .. zanim zapytasz - http://google.pl/ .. ] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Proba dostania sie przez SSH
HEY ! 1) Podstawa to wylaczyc logowanie na roota przez SSH, ustaw dobre haslo uzytkownikowi na którego się logujesz 2) sprawdz plik /etc/passwd, pod kątem logowania do shella 3) Możesz ograniczyc logowanie do wybranych zewnetrznych adresow IP na firewallu. 4) Modul PAM umozliwia ograniczenie logowania przez SSH tylko na wybrane konto uzytkownika, pozostałych odrzuca Wszystko zalezy od funkcji serwera jaką ma pelnic. Pozdrawiam Rafal -Original Message- From: Pagi [mailto:[EMAIL PROTECTED] Sent: Wednesday, September 07, 2005 10:29 AM To: debian-user-polish@lists.debian.org Subject: Proba dostania sie przez SSH Witam, W logach zauwazylem cos takiego (fragment) Sep 6 18:03:08 listonosz sshd[25747]: Failed password for illegal user 12345 from 209.250.150.73 port 50173 ssh2 Sep 6 18:03:09 listonosz sshd[13808]: Illegal user 1234 from 209.250.150.73 Sep 6 18:03:09 listonosz sshd[13808]: error: Could not get shadow information for NOUSER Sep 6 18:03:09 listonosz sshd[13808]: Failed password for illegal user 1234 from 209.250.150.73 port 50247 ssh2 Sep 6 18:03:11 listonosz sshd[10093]: Failed password for root from 209.250.150.73 port 50329 ssh2 Sep 6 18:03:13 listonosz sshd[28184]: Failed password for root from 209.250.150.73 port 50396 ssh2 Sep 6 18:03:15 listonosz sshd[4721]: Illegal user delli from 209.250.150.73 Sep 6 18:03:15 listonosz sshd[4721]: error: Could not get shadow information for NOUSER Sep 6 18:03:15 listonosz sshd[4721]: Failed password for illegal user delli from 209.250.150.73 port 50481 ssh2 Sep 6 18:03:16 listonosz sshd[29819]: Illegal user resconi from 209.250.150.73 Sep 6 18:03:16 listonosz sshd[29819]: error: Could not get shadow information for NOUSER Sep 6 18:03:16 listonosz sshd[29819]: Failed password for illegal user resconi from 209.250.150.73 port 50539 ssh2 Sep 6 18:03:18 listonosz sshd[3670]: Illegal user boschini from 209.250.150.73 Sep 6 18:03:18 listonosz sshd[3670]: error: Could not get shadow information for NOUSER Jest tego dzo wiecej... Jak wnioskuje, ktos probowal metoda chybil/trafil dostac sie na maszyne. Z tego co przejzalem logi to sie nie udalo, ale czy da sie temu jakos zaradzic? Pozdrawiam, Pagi -- Jedyny taki czat... http://link.interia.pl/f18b0
Re: Proba dostania sie przez SSH
Witam! On Wed, Sep 07, 2005 at 10:55:39AM +0200, Rafał Dąbrowa wrote: 1) Podstawa to wylaczyc logowanie na roota przez SSH, ustaw dobre haslo uzytkownikowi na którego się logujesz 2) sprawdz plik /etc/passwd, pod kątem logowania do shella 3) Możesz ograniczyc logowanie do wybranych zewnetrznych adresow IP na firewallu. 4) Modul PAM umozliwia ograniczenie logowania przez SSH tylko na wybrane konto uzytkownika, pozostałych odrzuca 5) Do logownia sie uzywac klucza, a nie hasla. Pozdrawiam, P.
Re: Proba dostania sie przez SSH
Paweł Tęcza napisał(a): Witam! On Wed, Sep 07, 2005 at 10:55:39AM +0200, Rafał Dąbrowa wrote: 1) Podstawa to wylaczyc logowanie na roota przez SSH, ustaw dobre haslo uzytkownikowi na którego się logujesz 2) sprawdz plik /etc/passwd, pod kątem logowania do shella 3) Możesz ograniczyc logowanie do wybranych zewnetrznych adresow IP na firewallu. 4) Modul PAM umozliwia ograniczenie logowania przez SSH tylko na wybrane konto uzytkownika, pozostałych odrzuca 5) Do logownia sie uzywac klucza, a nie hasla. 6) Można również wykorzystać tcpwarpes i zawęzić nim logowanie przez ssh do danych domen (np. tylko mających .pl) a w przypadku nie spełnienia tego kryterium opcjonalnie uruchomić jakiś skrypt alarmujący. Pozdrawiam: Tomasz Bieliński -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Proba dostania sie przez SSH
Oczywiscie PermitRoolLogin jest na no, na serwerze bedzie docelowo wiecej kont, ma on byc systemem pocztowym nieduzej firmy, wiec kont bedzie ok 50ciu i w wiekszosci z dostepem do shella, gdyz ludzie przyzwyczajeni sa do korzystania z pine'a. Nie moge ograniczyc logowania do ssh z konkretnych ip gdyz ludzie beda sie logowac z roznych miejsc... no moze mozna by wyciac takie rzeczy jak azja czy jakies egzotyczne kraje... Wiec prosze o rady pod kontem czemu moja maszyna ma sluzyc... Chyba ze userom wyciac calkiem shella i zdac ich na los outlookow i webmaila... ale to bylaby ostatecznosc. Pozdrawiam, Paweł Włodarczyk - Original Message - From: Rafał Dąbrowa [EMAIL PROTECTED] To: debian-user-polish@lists.debian.org Sent: Wednesday, September 07, 2005 10:55 AM Subject: RE: Proba dostania sie przez SSH HEY ! 1) Podstawa to wylaczyc logowanie na roota przez SSH, ustaw dobre haslo uzytkownikowi na którego się logujesz 2) sprawdz plik /etc/passwd, pod kątem logowania do shella 3) Możesz ograniczyc logowanie do wybranych zewnetrznych adresow IP na firewallu. 4) Modul PAM umozliwia ograniczenie logowania przez SSH tylko na wybrane konto uzytkownika, pozostałych odrzuca Wszystko zalezy od funkcji serwera jaką ma pelnic. Pozdrawiam Rafal -Original Message- From: Pagi [mailto:[EMAIL PROTECTED] Sent: Wednesday, September 07, 2005 10:29 AM To: debian-user-polish@lists.debian.org Subject: Proba dostania sie przez SSH Witam, W logach zauwazylem cos takiego (fragment) Sep 6 18:03:08 listonosz sshd[25747]: Failed password for illegal user 12345 from 209.250.150.73 port 50173 ssh2 Sep 6 18:03:09 listonosz sshd[13808]: Illegal user 1234 from 209.250.150.73 Sep 6 18:03:09 listonosz sshd[13808]: error: Could not get shadow information for NOUSER Sep 6 18:03:09 listonosz sshd[13808]: Failed password for illegal user 1234 from 209.250.150.73 port 50247 ssh2 Sep 6 18:03:11 listonosz sshd[10093]: Failed password for root from 209.250.150.73 port 50329 ssh2 Sep 6 18:03:13 listonosz sshd[28184]: Failed password for root from 209.250.150.73 port 50396 ssh2 Sep 6 18:03:15 listonosz sshd[4721]: Illegal user delli from 209.250.150.73 Sep 6 18:03:15 listonosz sshd[4721]: error: Could not get shadow information for NOUSER Sep 6 18:03:15 listonosz sshd[4721]: Failed password for illegal user delli from 209.250.150.73 port 50481 ssh2 Sep 6 18:03:16 listonosz sshd[29819]: Illegal user resconi from 209.250.150.73 Sep 6 18:03:16 listonosz sshd[29819]: error: Could not get shadow information for NOUSER Sep 6 18:03:16 listonosz sshd[29819]: Failed password for illegal user resconi from 209.250.150.73 port 50539 ssh2 Sep 6 18:03:18 listonosz sshd[3670]: Illegal user boschini from 209.250.150.73 Sep 6 18:03:18 listonosz sshd[3670]: error: Could not get shadow information for NOUSER Jest tego dzo wiecej... Jak wnioskuje, ktos probowal metoda chybil/trafil dostac sie na maszyne. Z tego co przejzalem logi to sie nie udalo, ale czy da sie temu jakos zaradzic? Pozdrawiam, Pagi -- Jedyny taki czat... http://link.interia.pl/f18b0 -- Oferty sprzedazy samochodow... http://link.interia.pl/f18b1 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]