Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-02-02 17:32:16

  Blackhole - Użytkownik

Blackhole
Użytkownik
Skąd: G. Śląsk
Zarejestrowany: 2005-09-07
Serwis

Ktoś się mi chce włamać na VPS. Co zrobić?

Hej!
W pliku /var/log/auth.log zauważyłem takie wpisy:

Jan 29 04:19:19 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:22 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:24 doscniewoli sshd[11733]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:47 doscniewoli sshd[11736]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:50 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:52 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:54 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:55 doscniewoli sshd[11736]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:55 doscniewoli sshd[11736]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11744]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session closed for user root
Jan 29 04:20:02 doscniewoli CRON[11744]: pam_unix(cron:session): session closed for user smmsp
Jan 29 04:20:15 doscniewoli sshd[11776]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:18 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:19 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:22 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
...
Feb  2 17:27:21 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:24 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:27 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
...

Od 29 stycznia do dziś jest takich wpisów już ponad 30 tyś:

Kod:

$ cat /var/log/auth.log | grep -i "failed password for root" | wc -l
30120

Wygląda, jakby ktoś chciał mi zrobił włam na VPS.
Jak mogę zablokować możliwość logowania z powyższych adresów IP?

Ostatnio edytowany przez Blackhole (2018-02-02 18:36:00)


Ściskam prawicę, Jacek

http://doscniewoli.plPoznaj prawdę o pieniądzach
Free energy exists!

Offline

 

#2  2018-02-02 19:38:44

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

fail2ban


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#3  2018-02-02 19:39:08

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.

I skonfiguruj firewala by odrzucał błędne próby połączenia różnych botów.

Offline

 

#4  2018-02-02 20:23:13

  Blackhole - Użytkownik

Blackhole
Użytkownik
Skąd: G. Śląsk
Zarejestrowany: 2005-09-07
Serwis

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

yossarian napisał(-a):

Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.

Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).

Ostatnio edytowany przez Blackhole (2018-02-02 20:24:12)


Ściskam prawicę, Jacek

http://doscniewoli.plPoznaj prawdę o pieniądzach
Free energy exists!

Offline

 

#5  2018-02-02 20:35:31

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

Blackhole napisał(-a):

Hej!
W pliku /var/log/auth.log zauważyłem takie wpisy:

Jan 29 04:19:19 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:22 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:24 doscniewoli sshd[11733]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:47 doscniewoli sshd[11736]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:50 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:52 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:54 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:55 doscniewoli sshd[11736]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:55 doscniewoli sshd[11736]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11744]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session closed for user root
Jan 29 04:20:02 doscniewoli CRON[11744]: pam_unix(cron:session): session closed for user smmsp
Jan 29 04:20:15 doscniewoli sshd[11776]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:18 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:19 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:22 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
...
Feb  2 17:27:21 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:24 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:27 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
...

Od 29 stycznia do dziś jest takich wpisów już ponad 30 tyś:

Kod:

$ cat /var/log/auth.log | grep -i "failed password for root" | wc -l
30120

Wygląda, jakby ktoś chciał mi zrobił włam na VPS.
Jak mogę zablokować możliwość logowania z powyższych adresów IP?

Hmm:

Kod:

iptables -N SSH
iptables -A INPUT -p tcp -m tcp -m multiport --dports 11523,21843  -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-sadd$
iptables -A SSH  -m hashlimit --hashlimit-upto 5/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name ssh -j ACCEPT
### iptables -A SSH -j LOG --log-prefix "SSH - zablokowany"
iptables -A SSH -j RETURN

Zrób sobie SSH na jakichś dziwacznych portach, podobnie jak powyżej.
Zrób też logowanie po kluczach SSH, a hasła wyłącz całkowicie.

Najpierw wygeneruj skopiuj i sprawdź, czy dzialłają klucze, a potem:
przyłączanie zrobisz: tak,, w konfigu /etc/ssh/sshd_config ustawiasz:

Kod:

PubkeyAuthentication yes
PasswordAuthentication no

N wszelki wypadek, jakbyś miał majstrować w konfigu sshd, zainstaluj sobie i wystaw na drugim porcie Dropbeara.

Dropbeara odpalisz takim poleceniem:

Kod:

dropbear -F -R -E -s -a -p *:{PORT}

Do majstrowania w konfigu sshd radziłbym  się przez Dropbeara zalogować, żeby sobie błędem w konfigu nie uceglić VPSa.

Ja  w ogóle na zdalnych serwerach zawsze trzymam dwa rożne demony sshd na rożnych portach.

Pozdro

Ostatnio edytowany przez Jacekalex (2018-02-03 20:35:06)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2018-02-03 14:53:08

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

yossarian napisał(-a):

Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.

E tam, ja u siebie miałem logowanie do konta root cały czas, z tym, że via klucze SSH. No i usługa stała na innym porcie niż domyślny i w zasadzie nie notowałem żadnych prób logowania, oczywiście poza moimi własnymi. xD

Blackhole napisał(-a):

Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).

Ja na telefonie mam wgranego termux'a:
https://termux.com/

To taki otwartoźródłowy terminal, którego funkcjonalność jest zbliżona do tej znanej z debiana. Np. można doinstalować pakiety od openssh via apt. Później można sobie stworzyć klucze SSH i uzupełnić odpowiednio konfigurację w stosownym pliku i logować się na serwery via ssha bez żadnych haseł, loginów — wystarczy podać adres, czyli tak jak to wygląda normalnie na kompie. xD

Tu masz więcej:
https://wiki.termux.com/wiki/FAQ

Ostatnio edytowany przez morfik (2018-02-03 14:55:20)

Offline

 

#7  2018-02-03 15:40:41

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

morfik napisał(-a):

yossarian napisał(-a):

Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.

E tam, ja u siebie miałem logowanie do konta root cały czas, z tym, że via klucze SSH.

Miałem na myśli logowanie na konto roota poprzez hasło. Jeśli dobrze pamiętam to standardowo jest to i tak wyłączone w Debianie.

Blackhole napisał(-a):

Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).

Logowanie na konto zwykłego użytkownika (zamiast roota) nie ma nic wspólnego z kluczami SSH.
Po drugie, JuiceSSH obsługuje klucze. Kiedyś używałem na tablecie — służył jako awaryjny lub podręczny dostęp do serwera.

Offline

 

#8  2018-02-03 15:48:56

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

Wstydzilibyście się używać zamkniętych aplikacji, gdy w około jest pełno otwartoźródłowych alternatyw. xD

Offline

 

#9  2018-02-03 15:51:19

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

Wygląda ciekawie.

Może zaniecham tego haniebnego czynu ;)

Offline

 

#10  2018-02-07 18:50:38

  hi - Zbanowany

hi
Zbanowany
Zarejestrowany: 2016-03-24

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

o drop listach Pan słyszał?
http://www.spamhaus.org/drop/

to norma, że boty kopią, internet to ciągłe pole bitwy :)

Ostatnio edytowany przez hi (2018-02-07 18:52:16)


"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)