Защита от атак

[s]AINT-Tsypa

twitter.com/abuzaind
Привет!

В последние несколько дней мою машинку атакуют. В основном, это попытки ввода неправильного юзера и пароля по ssh, но также было замечено несколько попыток атаки по фтп.

В ssh всё, на что меня хватило, -- это разрешить пользователей в AllowUsers.

Что ещё можно сделать?

Кусочек лога:

Код:
Apr  8 19:39:32 tsypa sshd[35223]: Invalid user spam from 70.91.162.186
Apr  8 19:39:32 tsypa sshd[35223]: Failed password for invalid user spam from 70.91.162.186 port 59779 ssh2
Apr  8 19:39:34 tsypa sshd[35231]: reverse mapping checking getaddrinfo for 70-91-162-186-busname-chesterfield.hfc.comcastbusiness.net [70.91.162.186] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr  8 19:39:34 tsypa sshd[35231]: Invalid user virus from 70.91.162.186
Apr  8 19:39:34 tsypa sshd[35231]: Failed password for invalid user virus from 70.91.162.186 port 59851 ssh2
Apr  8 19:39:38 tsypa sshd[35248]: reverse mapping checking getaddrinfo for 70-91-162-186-busname-chesterfield.hfc.comcastbusiness.net [70.91.162.186] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr  8 19:39:38 tsypa sshd[35248]: User cyrus from 70.91.162.186 not allowed because not listed in AllowUsers
Apr  8 19:39:38 tsypa sshd[35248]: Failed password for invalid user cyrus from 70.91.162.186 port 59934 ssh2
Apr  8 19:39:43 tsypa sshd[35268]: reverse mapping checking getaddrinfo for 70-91-162-186-busname-chesterfield.hfc.comcastbusiness.net [70.91.162.186] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr  8 19:39:43 tsypa sshd[35268]: Invalid user oracle from 70.91.162.186
Apr  8 19:39:43 tsypa sshd[35268]: Failed password for invalid user oracle from 70.91.162.186 port 60155 ssh2
Apr  8 19:39:47 tsypa sshd[35285]: reverse mapping checking getaddrinfo for 70-91-162-186-busname-chesterfield.hfc.comcastbusiness.net [70.91.162.186] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr  8 19:39:47 tsypa sshd[35285]: Invalid user michael from 70.91.162.186
Apr  8 19:39:47 tsypa sshd[35285]: Failed password for invalid user michael from 70.91.162.186 port 60381 ssh2
 

Pigeon

Well-Known Member
Обзавестись IDS, к примеру, .

ssh можешь перевесить на другой порт и разрешить соединения только с определенных адресов.
 

Silent_Lexx

Blender Designer
зафаерволить )) А лутче перевесить на другой порт , а на 22 повесить ловушку... Ток эт надо iptables скорей всего патчить ...
 

akick

letter to god
цыпо к сожалению непомню где видел, но есть очень интересные правила, которые позволяют осуществить дверь так назваемую
ты стучишся на какойто порт(открывается 22) вторично стучишся на порт и 22 закрывается поищи - тебе будет полезно........
 

RQQT

-midway through infinity-
Успокойся. Наверное первый раз на лог взглянул. Это бот сканит на открытый, беспарольный логин на машине. Мои серверы в течении 5 лет по 2-3 раза в час сканятся таким образом. А так, для успокоения совести протрассируй 70.91.162.186.
З.Ы. Как-то на машине у одного безалаберного админа даже видел что было после того, как был не Failed password...
 

vmart

PER ASPERA AD ASTRA
Команда форума
Администратор
зафаерволить )) А лутче перевесить на другой порт , а на 22 повесить ловушку... Ток эт надо iptables скорей всего патчить ...
iptables во FreeBSD? Ты вообще с какой планеты прибыл? Их там отроду не было.
 

vmart

PER ASPERA AD ASTRA
Команда форума
Администратор
Успокойся. Наверное первый раз на лог взглянул. Это бот сканит на открытый, беспарольный логин на машине. Мои серверы в течении 5 лет по 2-3 раза в час сканятся таким образом. А так, для успокоения совести протрассируй 70.91.162.186.
З.Ы. Как-то на машине у одного безалаберного админа даже видел что было после того, как был не Failed password...
Аналогично. Время от времени конечно добавляю самые настойчевые хосты в deny all, так для успокоения совести. Но до сих пор проблем не было.
 

vmart

PER ASPERA AD ASTRA
Команда форума
Администратор
ssh можешь перевесить на другой порт и разрешить соединения только с определенных адресов.
Гм.. А смысл тогда вообще ssh как секьюрного соединения если его разрешать только для определенных хостов. Почему бы не юзать telnet. Ведь смысл и есть в том, чтоб получиться доступ с любой точки земного шара, а так этот принцип теряется. А вот повесить на другой порт, поддерживаю. Это действительно может решить проблему.
 

Mao

Сетевой баг
Гм.. А смысл тогда вообще ssh как секьюрного соединения если его разрешать только для определенных хостов. Почему бы не юзать telnet. Ведь смысл и есть в том, чтоб получиться доступ с любой точки земного шара, а так этот принцип теряется. А вот повесить на другой порт, поддерживаю. Это действительно может решить проблему.
А где проблема то ?
Попыток подбора пароля на ssh ? Хм, ну тогда поменять порт на ftp, http, https, pop3, imap, список можно продолжать а ведь попыток то тоже немало.... IMHO просто забейте.
 

VAA

New Member
Например, sshit (usr/ports/security/sshit).
После определенного количества попыток (опционально) блокирует фаером (по умолчанию pf, можно изменить на ipfw).
 

UnixMaster

New Member
Дак что ты паришся, есть решение проблемы за 30 сек. в файле rc.conf измени порт демона SSH вот такой строчкой ssh_flags="-p номер_порта" после чего /etc/rc.d/sshd restart , насколько я помнюсь при рестарте сессия SSH не отпадает!
 

[s]AINT-Tsypa

twitter.com/abuzaind
Проблема уже давно решена именно перевешиванием на другой порт. Но спасибо.
 
Верх