The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Угрожающий рост количества атак на SSH серверы.

15.05.2008 11:27

В понедельник вышел отчет SANS Internet Storm Center, предупреждающий о значительном росте количества brute-force атак на SSH серверы. В основе атаки лежит метод подбора паролей по определенному алгоритму или по словарю. Отчет основывается на информации, предоставленной непосредственно пользователями или через почтовые конференции.

Данные собранные DenyHosts.org подтверждают эту информацию. На графике видно резкое увеличение попыток взлома SSH серверов.

Рекомендации по защите от несанкционированного доступа предлагаются стандартные: разрешение доступа к серверу только с хостов с определенным именем, блокирование входа в систему root, использование стойких паролей и имен пользователей, использование аутентификации по публичному ключу или многоуровневой аутентификации, ограничение публичного доступа к второстепенным сервисам, например, с помощью iptables.

  1. Главная ссылка к новости (http://www.informationweek.com...)
  2. A Study of Passwords and Methods Used in Brute-Force SSH Attacks
  3. isc.sans.org: Brute-force SSH Attacks on the Rise
Автор новости: blkdog
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/15874-SSH
Ключевые слова: SSH, attack, security, bruteforce
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (86) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Celarent (?), 11:36, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хххх, из мухи слона сделали. SSHGuard, или ограничение по открытию новых соединений в еденицу времени с одного ip.
     
     
  • 2.2, Аноним (2), 11:37, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Кто сказал, что подключения ведутся с одного хоста?
     
     
  • 3.52, Bzdun (?), 19:21, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Кто сказал, что подключения ведутся с одного хоста?

    log'и.

     
     
  • 4.60, vitek (??), 01:20, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    есть такой анекдот:
    > вчера перечитывал log'и.  долго думал.
     
  • 4.77, John the User (?), 01:22, 17/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>Кто сказал, что подключения ведутся с одного хоста?
    >log'и.

    Кстати да, долбятся как дятлы.

     
  • 2.73, Gr2k (ok), 18:13, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Видел решение с отсылкой одного особенного пакета, после чего в правилах автоматом прописывалось  разрешение на коннект с того ип откуда этот спец пакет пришел. Это один вариант, довольно интересный на мой взгляд.


    Насчет атак, это они логи моего шлюза не видели, 90% всех левых тыканий по портам это брут на ссш. И так было и год назад, и два и три.

     
     
  • 3.83, Дмитрий Ю. Карпов (?), 16:50, 19/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Видел решение с отсылкой одного особенного пакета, после чего в правилах автоматом прописывалось  разрешение на коннект с того ип откуда этот спец пакет пришел.

    Не проще ли открыть VPN-соединение, и потом по нему коннектиться по SSh?

     

  • 1.3, Аноним (2), 11:41, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если перевесить ssh на другой порт, то атаки прекратятся :)
     
     
  • 2.5, Ононим (?), 11:43, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >если перевесить ssh на другой порт, то атаки прекратятся :)

    если атака целенаправленная - не прекратятся. просканят порты и продолжут муму колбасить.

     
     
  • 3.66, ЮзверЪ (?), 07:50, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Да, если цель - именно эта машина, то да, будут долбить во все порты. Но чаще просто находят открытый 22-порт, и начинают ломать. В таком случае перенос номера порта помогает почти на 100 прОцентов.
     
     
  • 4.68, Pahanivo (??), 10:02, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Да, если цель - именно эта машина, то да, будут долбить во
    >все порты. Но чаще просто находят открытый 22-порт, и начинают ломать.
    >В таком случае перенос номера порта помогает почти на 100 прОцентов.
    >

    Угу. Роботы же долбят.

     

  • 1.4, Ононим (?), 11:41, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а что мешает ограничивать доступ к ssh по IP или хосту допустим? религия? :D
    принцип "что не разрешено - то запрещено" никто не отменял.
     
     
  • 2.6, newser (ok), 11:46, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а что мешает ограничивать доступ к ssh по IP или хосту допустим?
    >религия? :D
    >принцип "что не разрешено - то запрещено" никто не отменял.

    Это не всегда удобно. Доступ может потребоваться из разных (случайных) мест.

     
     
  • 3.13, Папа Карло (?), 12:00, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    fail2ban поможет буратинам :)
     
     
  • 4.46, telsek (ok), 17:08, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    +1
     

  • 1.7, don_oles (??), 11:53, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не держите ссх на 22-м порту и будет вам счастье.
     
     
  • 2.24, spamtrap (ok), 12:55, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    +1
     
  • 2.36, aim (??), 15:23, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Не держите ссх на 22-м порту и будет вам счастье.

    если публичный сервер - это не сильно помогает.

     
  • 2.49, Аноним (2), 17:30, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    не сильно-то и удобно, если к серверу, например, нужен доступ из разных мест по svn поверх ssh - создавать каждый раз custom transport замахаишьси.
     
     
  • 3.80, Аноним (-), 14:34, 18/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >не сильно-то и удобно, если к серверу, например, нужен доступ из разных
    >мест по svn поверх ssh - создавать каждый раз custom transport
    >замахаишьси.

    http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki

     

  • 1.8, Аноним (2), 11:55, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ой, да ладно... Атаки были, есть, и будут есть. Когда у нас появляется новый
     
  • 1.9, Аноним (9), 11:56, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    наверняка связано с недавними проблемами с openssl в debian
     
     
  • 2.11, Аноним (2), 11:58, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >наверняка связано с недавними проблемами с openssl в debian

    нет, не связано. Проблемы с openssl ключами никак не влияют на стойкость паролей.

     
     
  • 3.70, Вовчик (?), 13:09, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>наверняка связано с недавними проблемами с openssl в debian
    >
    >нет, не связано. Проблемы с openssl ключами никак не влияют на стойкость
    >паролей.

    Рост числа атак действительно может быть связан с последними ошибками в Дебиановском openssl. Оказалось, что возможное число ключей, которые генерились последние два года на деб-машинах, сильно ограничено (~2^16). Можно довольно эффективно удалённо брутфорснуть логин с аутентификацией по незапароленному ключу.

     

  • 1.10, Аноним (2), 11:57, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сервер, его атакуют в тот же день или от силы на следующий.
    Но атакуют с одного-двух айпишнеков. Стоит его загнать в hosts.deny, как всё становится спокойно. Недельку побанить такие ботнеты, и можно расслабиться - атак больше нет.
     
  • 1.12, Оммм (?), 11:59, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >если атака целенаправленная - не прекратятся. просканят порты и продолжут муму колбасить.

    если атака целенаправленная, то никто не будит брутить %)
    брутят скрипты/сканеры и прочая шваль автоматизированная

     
     
  • 2.15, Ононим (?), 12:03, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    тупых школьнегов и недохацкеров еще никто не отменял. начитаются доисторической литературы, а потом рвуться все поломать. хотя таких в последнее время становится все меньше и меньше. взрослеют наверно.
     

  • 1.14, Celarent (?), 12:02, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А какая разница с каких ip ведутся атаки? Делаем с помощью iptables или pf ограничение по открытию новых соединений с одного хоста (например не больше трёх в минуту), и тогда brute-force просто теряет смысл - время перебора становится непомерно большим.
     
     
  • 2.16, Ононим (?), 12:04, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > А какая разница с каких ip ведутся атаки? Делаем с помощью
    >iptables или pf ограничение по открытию новых соединений с одного хоста
    >(например не больше трёх в минуту), и тогда brute-force просто теряет
    >смысл - время перебора становится непомерно большим.

    ботнеты еще никто не отменял.

     

  • 1.17, Fantomas (??), 12:09, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хахаха, нашли проблему.
    Ну, все время кто-то что-то там подбирает. Ну и что?
    Если пароль взломоустойчивый то пускай подбирают.
    Я не обращал и не обращаю никакого на это внимания.
     
     
  • 2.19, Аноним (2), 12:18, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема находится тогда, когда ты пытаешься зайти на сервер, а тебя не поскает - потому что два бота DoSят твой sshd, перебирая пароли с максимальной возможной скоростью из расчёта, что бот один. Когда бот один - это не заметно. Когда их двое - третий уже не может зайти. Поэтому надо банить или ограничивать соединения по айпи.
     

  • 1.18, Аноним (2), 12:16, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    denyhosts и никаких проблем.
    Новость высосана из пальца.
     
     
  • 2.27, bsdaemon (??), 13:40, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >denyhosts и никаких проблем.
    >Новость высосана из пальца.

    Это не новость а предостережение!
    Пример с теми же червями, все знают что они есть, но иногда полезно знать что-то такой-то червь на таком-то порту набирает обороты...

     

  • 1.20, georg (??), 12:20, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем то напомнило анекдот:

    В чате:
    HaCKer - Дайте мне IP какого-нибуль лоха, ща я его завалю!
    Некто - 127.0.0.1
    системное сообщение: HaCKer вышел из чата

     
  • 1.21, Fr. Br. George (?), 12:27, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По крайней мере, экспериментально доказано, что уже и BF-боты используют 1337. Порщайте, читаемые p@55w0rd-ы.
     
  • 1.22, Аноним (9), 12:41, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    bilo bi xorosho eslib sshguard bil v sshd "integrirovan"
     
  • 1.23, Аноним (2), 12:47, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    дам а просче всего запратит ползоватся user/pass толко с ключик и все ... атаки можно делата но они без смисл.
     
  • 1.25, kos (??), 13:28, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да, за последнюю неделю увеличелось офигенно. первая колонка дата, вторая кол-во забаненных ИПшников. Причем после 5 неудачных логинов, ИПшка банится на час. По моим наблюдениям, в атаке участвуют до 1000 машин с разными ИП.

    FW 2
    05      6
    06      31
    07      250
    08      332
    09      291
    10      86
    11      15
    12      673
    13      472
    14      389

    FW 2
    05      2
    06      1
    07      11
    08      13
    09      9
    10      6
    11      3
    12      1243
    13      418

     
  • 1.28, Аноним (2), 13:42, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо :-)
     
  • 1.29, Аноним (9), 13:43, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я делаю так: автоматически запускается скрипт, проверяющий лог на предмет большого числа попыток подключиться к ssh, и, для "провинившегося" IP добавляю правило в iptables. Одновременно генерирую скрипт удаления этого правила. Следующим днем выполняю скрипт, и, накопившиеся правила предыдущего дня, сбрасываются.    
      И потом, важно придумать "хороший" логин и сложный пароль. Мой логин еще не разу не угадали - до пароля даже не дошло...
     
     
  • 2.35, Painbreinger (?), 15:22, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Я делаю так: автоматически запускается скрипт, проверяющий лог на предмет большого числа
    >попыток подключиться к ssh, и, для "провинившегося" IP добавляю правило в
    >iptables. Одновременно генерирую скрипт удаления этого правила. Следующим днем выполняю скрипт,
    >и, накопившиеся правила предыдущего дня, сбрасываются.
    >  И потом, важно придумать "хороший" логин и сложный пароль. Мой
    >логин еще не разу не угадали - до пароля даже не
    >дошло...

    использовать модуль recent на иптаблесе религия не позволяет?

     
  • 2.39, pavlinux (ok), 15:34, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >  И потом, важно придумать "хороший" логин и сложный пароль. Мой
    >логин еще не разу не угадали - до пароля даже не дошло...

    KjubyЕo'НbРfpeНtУuflfkb-LjGfhjkzLf;tYtLjikj... - ЛогинЕщеНеРазуНеУгадали-ДоПароляДажеНеДошло...

     
     
  • 3.55, LOL (??), 21:08, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Пошел менять пароль :)
     

  • 1.30, Аноним (9), 13:58, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    bin sh дата по которой фильтровать может быть в нужной форме Май 15 и М... большой текст свёрнут, показать
     
  • 1.31, GateKeeper (??), 14:19, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    перманентный фильтр на 22 порту с:
    table <sshallow> persist

    pass from <sshallow> to $inet_addr port ssh keep state

    Таблица <sshallow> заполняется путём выполнения шелл-скрипта из серверной части https-страницы, авторизующей пользователей по сертификатам. В конце шелл-скрипта стоит незатейливый примерно так: 'at "now + 5 minutes" pfctl -t sshallow -Td $HOSTIP', выглядящий уборщик мусора из таблицы.

     
  • 1.32, John (??), 14:22, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    KNOCK1 123 KNOCK2 456 KNOCK3 789 KNOCK4 555 TIME_OPEN 30 sbin iptable... большой текст свёрнут, показать
     
     
  • 2.40, pavlinux (ok), 15:42, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >KNOCK1="123"
    >KNOCK2="456"
    >KNOCK3="789"
    >KNOCK4="555"
    >TIME_OPEN="30"

    на порты $KNOCK1, затем $KNOCK2, $KNOCK3 и $KNOCK4.
    > При этом обращение на эти порты в другом порядке не откроет порт SSH для доступа.

    Ещё бы номера портов вынести за 1024, приписать по 0 или 00  
    KNOCK1="12300"
    KNOCK2="45600"
    KNOCK3="7890"
    KNOCK4="55500"
    TIME_OPEN="30"

    Не забыть поправить в Linux_е ipv4.port_range="1024 65535"

     
     
  • 3.45, PereresusNeVlezaetBuggy (ok), 16:53, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>KNOCK1="123"
    >>KNOCK2="456"
    >>KNOCK3="789"
    >>KNOCK4="555"
    >>TIME_OPEN="30"
    >
    >на порты $KNOCK1, затем $KNOCK2, $KNOCK3 и $KNOCK4.
    >> При этом обращение на эти порты в другом порядке не откроет порт SSH для доступа.
    >
    >Ещё бы номера портов вынести за 1024, приписать по 0 или 00

    Если никто посторонний не сможет открывать порты, то да. Иначе пусть лучше будут только для рута...

     
  • 2.50, Аноним (-), 17:38, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >И все. Предсказать порядок портов оооочень сложно - сканирование не спасает.

    для пущей безопасности я бы еще использовал одноразовые пароли через OPIE.

     

  • 1.33, Аноним (9), 14:23, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо за скрипт, интересен, но на мой взгляд проще использовать fail2ban. Дополнительно позовляет банить неправильные логины на другие сервисы и осуществлять более гибкий контроль за процессом.
     
     
  • 2.34, John (??), 14:29, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Спасибо за скрипт, интересен, но на мой взгляд проще использовать fail2ban. Дополнительно
    >позовляет банить неправильные логины на другие сервисы и осуществлять более гибкий
    >контроль за процессом.

    Только разница в том, что мой пример не дает даже пытаться войти по SSH левому человеку.

     

  • 1.37, Аноним (9), 15:27, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    стоит порт нокинг на основе iptables все пучком, смысла долбится или сканировать хост на сервере нет, не реальо не зная необходимые порты
     
  • 1.38, fa (??), 15:33, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня одно время хобби было. Ставил старенькую тачку "лицом в инет" с простеньким паролем (user: sergio, pass: sergio. Разгадывали на ура, если кому интересно будет повторить) ну и глядел че там кулхацкеры делают. Один скрипт-ломальщик (а может и живой кто это был) перетащил мне на машину всего себя, включая список с уже угаданными логинами/паролями других тачек. Большинство оказалось экзотическими девайсами с встроенными линуксами и старыми заброшеными машинами.

     
  • 1.41, maksimka (??), 15:45, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    iptables -N SSHSCAN
    iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j SSHSCAN
    iptables -A SSHSCAN -m recent --set --name SSH
    iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j LOG  --log-level info --log-prefix "SSH SCAN blocked: "
    iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
     
  • 1.43, Аноним (9), 16:25, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >У меня одно время хобби было. Ставил старенькую тачку "лицом в инет"

      тоже хочу приколоться - поставить на виртуальной машине голой жопой в и-нет =))
      посмотреть как кулхацкеры резвятся...

     
     
  • 2.54, Volodymyr Lisivka (?), 20:14, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>У меня одно время хобби было. Ставил старенькую тачку "лицом в инет"
    >
    >  тоже хочу приколоться - поставить на виртуальной машине голой жопой
    >в и-нет =))
    >  посмотреть как кулхацкеры резвятся...

    Ну так ставишь виртуалку, ставишь мониторы, делаеш юзеру root пароль 12345, и пускаешь жопой в инет. Только не забудь запретить исходящие конекты на реальном хосте, иначе твоя машина станет сканировать других. Потом делаешь дамп памяти и разбираешся на досуге чё там творится.

     
  • 2.84, Дмитрий Ю. Карпов (?), 16:51, 19/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > тоже хочу приколоться - поставить на виртуальной машине голой жопой в и-нет =))
    > посмотреть как кулхацкеры резвятся...

    А если с тебя начнут рассылать спам?

     

  • 1.44, Аноним (9), 16:34, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вспомнить про mlimit в iptables да запретить вход по логину паролю(тока сертификатом).ну и заодно разрешить вход тока с определнных айпишников
     
  • 1.47, Alex_k (?), 17:09, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня сначал впн поднимаеться а там внурти уже что хочу ворочу помойму безопасне намного.

     
  • 1.48, Аноним (9), 17:25, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Использую pf и ограничение на количество соединений в единицу времени с одного ip + ограничение количества одновременных соединений с одного ip. Провинившиеся ip помещаю в таблицу и персонально для них устанавливаю "плохой канал", с потерей пакетов порядка 75%. Помогает хорошо...
     
     
  • 2.71, Sergo1 (ok), 13:57, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Использую pf и ограничение на количество соединений в единицу времени с одного
    >ip + ограничение количества одновременных соединений с одного ip. Провинившиеся ip
    >помещаю в таблицу и персонально для них устанавливаю "плохой канал", с
    >потерей пакетов порядка 75%. Помогает хорошо...

    А какими средствами длается "плохой канал" с заданнм дропаньем?


     
     
  • 3.76, Аноним (-), 00:12, 17/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А какими средствами длается "плохой канал" с заданнм дропаньем?

    block on $ext_if proto tcp from <abusive_hosts> to $ext_addr port 22 probability 75%

     

  • 1.51, Bzdun (?), 19:20, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    /etc/pf.conf:
    TCP="proto tcp"
    SSA="flags S/SA"
    MSF="modulate state"
    .....
    table <sshlock> persist
    .....
    pass in $TCP to $ext_addr port ssh $SSA label SSH-Limit \
            $MSF (max-src-conn-rate 10/60, overload <sshlock> flush global)
    block drop in log from <sshlock> to any label SSH-Lock
     
  • 1.53, dz (ok), 20:13, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а кто отменил в ssh
    AllowGroups sshusers-group

    ???


     
  • 1.56, Аноним (2), 21:23, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А нельзя например 100 раз набрал неверный логин и пароль, то в бан IP адрес?
    Как раз собиреться хороший список проксей....
     
     
  • 2.57, Аноним (2), 21:24, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А нельзя например 100 раз набрал неверный логин и пароль, то в
    >бан IP адрес?
    >Как раз собиреться хороший список проксей....

    (имеется введу подрят 100 раз с ошибкой)

     
  • 2.59, Аноним (2), 21:27, 15/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А нельзя например 100 раз набрал неверный логин и пароль, то в
    >бан IP адрес?
    >Как раз собиреться хороший список проксей....

    (имеется введу подрят 100 раз с ошибкой)

     

  • 1.58, Аноним (2), 21:27, 15/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В продолжении темы, интереснее было бы сделать так, что бы после 100 раз подрят неправильно набранных паролей залагиниться было бы вообше нельзя, но эмуляция работы ssh оставалась....
     
  • 1.61, vitek (??), 01:27, 16/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    когдато, в древние времена (когда компы были деревянными, а кодировка была одна)
    был такой трюк:
    обратный дозвон.
     
  • 1.62, fa (??), 01:31, 16/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ох, и чего не понапридумывает народ, лишь бы не менять порт ssh. В хозяйстве более 50-и машин в разных сетях. При установке меняю порт ssh (ну и PermitRootLogin no на всякий случай). Некоторые 4 года уже стоят. Ни на одной ни разу не был замечен bruteforce. Да что там, хоть бы просто ткнулся кто.
     
     
  • 2.63, vitek (??), 01:56, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    так это.
    плохо приглашаешь :-)
     
  • 2.64, Oles (?), 01:59, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    +1
    Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить, с извратом, , ключи. А пароль оставить 12345 :)
     
     
  • 3.74, Аноним (2), 20:26, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >+1
    >Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить,
    >с извратом, , ключи. А пароль оставить 12345 :)

    О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого скана ...
    Перевесть порт это так - чтоб логи не пухли. Не защитит вас зарывание головы в песок - уж сколько раз о "security by obscurity" толковали ,)

     
     
  • 4.75, fa (??), 22:48, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого
    >скана ...
    >Перевесть порт это так - чтоб логи не пухли. Не защитит вас
    >зарывание головы в песок - уж сколько раз о "security by
    >obscurity" толковали ,)

    скан сам по себе ничем не опасен.

     
  • 4.85, littster (?), 09:13, 20/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>+1
    >>Не мешай народу - люди мазохисты по природе. Им бы фаерволы построить,
    >>с извратом, , ключи. А пароль оставить 12345 :)
    >
    >О - кульцхарякеры подтянулись ... Ну - ну, живите пока, до первого
    >скана ...
    >Перевесть порт это так - чтоб логи не пухли. Не защитит вас
    >зарывание головы в песок - уж сколько раз о "security by
    >obscurity" толковали ,)

    А PortSentry с блокировкой портскана или snort поставить религия не позволяет??

     
  • 2.72, Denis (??), 15:44, 16/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    а если у тебя CVS сервер и около 300 пользователей на нем? каждому пройти и порт поменять?
    понимаю, что надо было делать изначально, но так исторически сложилось.
     

  • 1.65, maksimka (??), 07:43, 16/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    веселее было бы использовать TARPIT для попавшихся, но его выкинули :(
     
  • 1.67, blackpepper (?), 09:38, 16/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    /usr/ports/security/sshit
     
     
  • 2.81, tiger (??), 14:40, 19/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >/usr/ports/security/sshit

    оно отстой. выше gatekeeper показал верный метод, но я делал наоборот, 22 порт был открыт всем, разрешено было 3 попытки в мин с 1 ip коннектится, overload добавлялся в таблицу badusers которая и была закрыта.

     

  • 1.69, im (??), 12:10, 16/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    geoip на 22 порт, оставляем только свой каунтри-остальные отдыхают
     
     
  • 2.78, Никого_нет_всех_якши_унесли (?), 01:59, 17/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Запрет рутового логина, аунтификация только по ключу с парольной фразой.
    брутер не пройдет )
     

  • 1.79, John the User (?), 07:56, 17/05/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >использование аутентификации по публичному ключу

    Таким хреновым советчикам надо больно е*нуть в бубен за такие советы учитывая уязвимость в дебиановском OpenSSL и геморрой с этими самыми ключами, мать их.

     
     
  • 2.82, tiger (??), 14:44, 19/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>использование аутентификации по публичному ключу
    >
    >Таким хреновым советчикам надо больно е*нуть в бубен за такие советы учитывая
    >уязвимость в дебиановском OpenSSL и геморрой с этими самыми ключами, мать
    >их.

    "уязвимость в дебиановском OpenSSL" это проблема исключительно тех кто пользуется дебианбейсд фигней, а также самим дебианом. Не нужно так резко отзываться о людях которые выбрали более адекватные дистрибутивы ;-)

     
     
  • 3.86, Michael Shigorin (ok), 17:29, 28/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >"уязвимость в дебиановском OpenSSL" это проблема исключительно тех
    >кто пользуется дебианбейсд фигней, а также самим дебианом.

    Если бы...

    >Не нужно так резко отзываться о людях
    >которые выбрали более адекватные дистрибутивы ;-)

    Теперь представьте себе, что на хосте с более адекватным дистрибутивом размещён публичный ключик, при генерации которого мощность множества секретных ключей была сведена к 98301.  Причём вероятность распределена заведомо неравномерно, особенно для пользователя root.  Бишь всё это неплохо перебирается в обозримое время.

    Так что если кто вдруг ещё не воспользовался утилитой для поиска увечных ключей, принесённых пользователями лучшего дистрибутива всех времён и народов (tm) или там самопопулярного дистрибутива всех времён и народов (tm) -- предлагаю заглянуть сюда:
    http://wiki.debian.org/SSLkeys#head-45e521140d6b8f2a0f96a115a5fc616c4f1baf0b

    PS: в Owl и ALT Linux тем временем обкатывается оригинальный вариант openssh, который с несущественными накладными расходами отбрасывает такие ключи "на лету": http://openwall.com/lists/oss-security/2008/05/27/3

    PPS: надеюсь, для разработчиков Debian это будет урок насчёт того, что здравый смысл поклонением инструментарию (полиси, whatever) не заменяется.

     
     
  • 4.87, Лена (??), 20:39, 01/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А чего никто до сих пор не предложил вызывать sshd из inetd? У inetd есть возможность лимитировать количество соединений с одного IP с минуту, например одно или два соединения в минуту.
     
     
  • 5.88, Pahanivo (ok), 14:30, 03/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А чего никто до сих пор не предложил вызывать sshd из inetd?
    >У inetd есть возможность лимитировать количество соединений с одного IP с
    >минуту, например одно или два соединения в минуту.

    Ны как вариант ты потеряещь сервер если inetd глюканет.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру