В заметке "Rickrolled? Get Ready for the Hail Mary Cloud! (http://bsdly.blogspot.com/2009/11/rickrolled-get-ready-for-h...)" рассказано о новой распределенной ботнет-сети, специализирующейся на проникновении путем подбора паролей через SSH. Классические методы блокирования "brute force" атак слабо помогают против новой сети, так как с одного IP адреса производится лишь несколько попыток проверки - в подборе участвуют несколько тысяч машин, каждая из которых перебирает относительно небольшой диапазон вариантов перебора.
Поставленный эксперимент показал, что к одной из тестовых машин была зафиксирована однородная активность по подбору типовых паролей с 1767 хостов, трафик с которых не носил аномальный характер, а был равномерно распределен во времени, не достигая порога реагирования со стороны систем по блокированию атак.URL: http://bsdly.blogspot.com/2009/11/rickrolled-get-ready-for-h...
Новость: http://www.opennet.ru/opennews/art.shtml?num=24276
Кто мешает вешать ssh на не стандартный порт? После смены порта попытки подбора пароля вообще прекратились
> Кто мешает вешать ssh на не стандартный порт? После смены порта попытки подбора пароля вообще прекратилисьНу, это решение имени страуса, IMO.
и все же весьма эффективное, особенно в комплексе с другими.
видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже 2 года
никаких брутфорсов.
К недостаткам можно отнести только усложнение работы с sftp и тд, но все решается прочтением манов.
>и все же весьма эффективное, особенно в комплексе с другими.
>видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже
>2 года
>никаких брутфорсов.
>К недостаткам можно отнести только усложнение работы с sftp и тд, но
>все решается прочтением манов.Не надо бояться попыток подбора пароля. При современных объёмах жёстких дисков экономить на логах — идиотизм. Бояться надо плохих паролей и других дыр безопасности.
Лучше читать логи, где нет сообщений о попытках подбора. Это здорово экономит время.
>Лучше читать логи, где нет сообщений о попытках подбора. Это здорово экономит
>время.Если вам так надо — фильтруйте, и всё. Средств для этого тонны: от grep до супернавороченных IDS. Мне вот такие логи помогают быть в курсе современных тенденций по выбору паролей — всегда пригодится. ;)
и все же весьма эффективное, особенно в комплексе с другими.
видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже 2 года
никаких брутфорсов.
К недостаткам можно отнести только усложнение работы с sftp и тд, но все решается прочтением манов.
я у себя в логах ни разу не обнаружил попыток "левого" логина. единственно, что сделал, так это отсеял все запросы на 22 порт, исходящие из сетей других провайдеров.
я давно заметил (больше месяца назад)у себя подобное и сразу ограничил доступ по ssh (hosts.allow) только с тех адресов, с которых действительно это может быть нужно
Вы никогда не бываете в отпуске, в комнадировке, на природе, ...?
Это не защита, а костыль, который возможно будет помогать до тех пор, пока мало кто так делает. Порты перебрать не трудно.
Для перебрать все порты на машину надо будет еще стукнуться несколько десятков тысяч раз. А потом еще перебор паролей, что IDS'ом или просто правилом в iptables отловится намного лучше. Вполне нормальное решение, особенно при том, что минусов как бы и не имеет.
Минусы имеет: нестандартная конфигурация. "Стукнуться несколько десятков тысяч раз" — не проблема для распределенной атаки. Если вы просто добавите к своему паролю один символ, вы более существенно увеличите защищенность своей системы, и без костылей.
Нестандартная это понятно, но какие минусы это даст на практике? Если только к вам должны иметь доступ по ssh и те, кто без понятия на каком порту он у вас там висит, и кому вы особо не можете указать, куда стучаться, разве что так.> не проблема для распределенной атаки.
Тем не менее, при ней далеко не все стучащиеся доживут до перебора паролей, что есть таки плюс.
> Если вы просто добавите к своему паролю один символ, вы более существенно увеличите защищенность своей системы, и без костылей.
Длина пароля само собой. Но перенос не общеупотребительного сервиса (не pop/smtp/www же) на нестандартный порт имхо не костыль, а вполне нормальная мера безопасности.
Уже писал в другой ветке (#52):Использование нестандартного порта увеличивает перебор _на_ 2^16 (немного больше 65000), добавление к паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом, если в пароле больше 2-х символов, выбор нестандартного порта не даст заметного улучшения безопасности.
И еще здесь уже было правильно сказано (#80):
Перенос порта — это чистой воды security by obscurity.
>Перенос порта — это чистой воды security by obscurity.
> obscurity сущ. 1) а) неизвестность, безвестность; незаметностьВ таком смысле — ну да. И поэтому оно неплохое добавление к сложному паролю. Сначала пусть найдут, а потом уже ломают, это не пересекающиеся методы защиты же )
>>Перенос порта — это чистой воды security by obscurity.
>> obscurity сущ. 1) а) неизвестность, безвестность; незаметность
>
>В таком смысле — ну да. И поэтому оно неплохое добавление к
>сложному паролю. Сначала пусть найдут, а потом уже ломают, это не
>пересекающиеся методы защиты же )security by obscurity — это не защита, это её имитация. Найти при желании — пара пустяков. А атака с желанием сломать конкретно данную машину — вполне реальная и намного более сильная угроза (в том же направлении). Поэтому защищаться надо от неё (или от ещё более сильной угрозы, если такая имеет место быть). Это азы компьютерной безопасности, вообще-то. ;) Против ботов имеет смысл поставить только на фаерволе ограничение по количеству подключений в единицу времени, чтобы sshd не так сильно нагружался и меньше в логи гадил.
>security by obscurity — это не защита, это её имитация.Незаметность не защита? Военные с их маскировочными раскрасками, стелс-технологиями и прочими мерами тут резко огорчились ;)
>Найти при желании — пара пустяков. А атака с желанием сломать конкретно данную
>машину — вполне реальная и намного более сильная угроза (в том
>же направлении). Поэтому защищаться надо от неё (или от ещё более
>сильной угрозы, если такая имеет место быть).Согласен, хотя тема тут всё-таки начиналась только с ботов. Но тогда имеем то, что живому взломщику все равно для начала надо будет найти живой sshd, например. На стандартном порту он его нащупает влет с нулем усилий, на засунутом подальше — только имея ботнет, да еще и достаточно большой, чтобы жертва всех не перебанила. Имхо, уже достаточный аргумент для такой ничего не стоящей меры, как перенос порта.
>>security by obscurity — это не защита, это её имитация.
>
>Незаметность не защита? Военные с их маскировочными раскрасками, стелс-технологиями и прочими мерами
>тут резко огорчились ;)Перенос порта — это НЕ маскировка. И obscurity в данном случае переводится НЕ как «маскировка», а скорее как «запутанность». Если брать военную аналогию (я так надеялся, что вы не совершите этой ошибки с маскировкой, но что поделать…), то перенос порта — это как если ракеты перевезти из квадрата «А» в квадрат «Б»: поможет только против совсем неосведомлённого противника. И не забывайте ещё, что узнать расположение ракетного склада сложнее, чем просканить порты…
>[оверквотинг удален]
>>машину — вполне реальная и намного более сильная угроза (в том
>>же направлении). Поэтому защищаться надо от неё (или от ещё более
>>сильной угрозы, если такая имеет место быть).
>
>Согласен, хотя тема тут всё-таки начиналась только с ботов. Но тогда имеем
>то, что живому взломщику все равно для начала надо будет найти
>живой sshd, например. На стандартном порту он его нащупает влет с
>нулем усилий, на засунутом подальше — только имея ботнет, да еще
>и достаточно большой, чтобы жертва всех не перебанила. Имхо, уже достаточный
>аргумент для такой ничего не стоящей меры, как перенос порта.Заиметь ботнет — точнее, арендовать — совсем не сложно, было бы желание. Стоит копейки. Если совсем жаба душит (хотя такого противника обычно и бояться нечего) — найти XSS на достаточно посещаемом ресурсе и заставить его посетителей сканить порты через URL вида http://server.domain:1470/ . ;)
>это как если ракеты
>перевезти из квадрата «А» в квадрат «Б»: поможет только против совсем
>неосведомлённого противника.Неосведомленность противника не сделает его удар легче. Есть некоторая заметная вероятность, что как-то поможет — ну и хорошо. Не буду утверждать, что спец в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей же. Поэтому имхо чем больше вероятностей взлома перемножать, тем лучше, тем меньшая цифра будет в конце. Конечно, если в данном случае лекарство не хуже болезни, но перенос порта имхо в среднем достаточно безболезнен.
>Заиметь ботнет — точнее, арендовать — совсем не сложно, было бы желание.
>Стоит копейки. Если совсем жаба душит (хотя такого противника обычно и
>бояться нечего) — найти XSS на достаточно посещаемом ресурсе и заставить
>его посетителей сканить порты через URL вида http://server.domain:1470/ . ;)Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая непрофессиональная, но от этого не перестающая быть нежелательной.
>И не забывайте ещё, что узнать расположение ракетного склада
>сложнее, чем просканить порты…С этими аналогиями можно далеко зайти, но незаметность и маскировка не всегда настолько глобальны же. Полевой камуфляж, по сравнению с цветом кожи, уже дает достаточно преимуществ, чтобы ним пользовались уже вон сколько, и пока отказываться не собирались.
>>это как если ракеты
>>перевезти из квадрата «А» в квадрат «Б»: поможет только против совсем
>>неосведомлённого противника.
>
>Неосведомленность противника не сделает его удар легче. Есть некоторая заметная вероятность, что
>как-то поможет — ну и хорошо.Поможет. Но поможет и средство от более серьёзной атаки. Поэтому более слабое средство попросту бессмысленно — более того, затраты на его использование, связанные с кастомизацией, _больше_ затрат на грамотную защиту.
> Не буду утверждать, что спец
>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>же.Обсуждаемую в новости проблему он закрывает.
> Поэтому имхо чем больше вероятностей взлома перемножать, тем лучше, тем
>меньшая цифра будет в конце. Конечно, если в данном случае лекарство
>не хуже болезни, но перенос порта имхо в среднем достаточно безболезнен.И бесполезен. Только сами потом голову будете ломать, на какой же порт вы его повесили. И не просканить — ваша собственная защита ваш IP и заблокирует, останется только… создавать/арендовать ботнет?!
>>Заиметь ботнет — точнее, арендовать — совсем не сложно, было бы желание.
>>Стоит копейки. Если совсем жаба душит (хотя такого противника обычно и
>>бояться нечего) — найти XSS на достаточно посещаемом ресурсе и заставить
>>его посетителей сканить порты через URL вида http://server.domain:1470/ . ;)
>
>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>непрофессиональная, но от этого не перестающая быть нежелательной.Она с тем же успехом отвалится и от других, более жёстких и эффективных, мер.
>>И не забывайте ещё, что узнать расположение ракетного склада
>>сложнее, чем просканить порты…
>
>С этими аналогиями можно далеко зайти, но незаметность и маскировка не всегда
>настолько глобальны же. Полевой камуфляж, по сравнению с цветом кожи, уже
>дает достаточно преимуществ, чтобы ним пользовались уже вон сколько, и пока
>отказываться не собирались.Во-первых, повторюсь: перенос порта НЕ есть маскировка. Во-вторых, просканить порты ботнетом — легко и безопасно. Вычислять маскирующегося противника в поле намного сложнее и опаснее.
>более слабое средство попросту бессмысленноЕсли всё множество перекрываемых более слабым средством атак входит в множество перекрываемых более сильным — согласен. Но имхо это не тот случай же.
>более того, затраты на его использование, связанные
>с кастомизацией, _больше_ затрат на грамотную защиту.Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?
>> Не буду утверждать, что спец
>>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>>же.
>Обсуждаемую в новости проблему он закрывает.Хорошо, но в реале все равно приходится защищаться от всего, что только можно придумать.
>И бесполезен. Только сами потом голову будете ломать, на какой же порт
>вы его повесили. И не просканить — ваша собственная защита ваш
>IP и заблокирует, останется только… создавать/арендовать ботнет?!Я не говорил, что на всех машинах надо его еще и разным делать ) Оно конечно будет на какую-то долю процента эффективнее, но тут тоже согласен, шкурка вычинки не стоит.
А уж один новый порт можно и запомнить, особенно если выбирать его не совсем из /dev/urandom>>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>>непрофессиональная, но от этого не перестающая быть нежелательной.
>Она с тем же успехом отвалится и от других, более жёстких и
>эффективных, мер.Более жестких и эффективных, чем "нет у меня никакого ssh"? До "если найду" еще дойти надо, с некоторыми затратами времени и сил.
>Во-первых, повторюсь: перенос порта НЕ есть маскировка.
Я лично под этим термином понимаю что-то вроде "меня здесь нет". И тогда вполне маскировка, хоть и вполне преодолеваемая, конечно.
>Во-вторых, просканить порты ботнетом — легко и безопасно.
Ладно, тогда так: вы считаете, что любой взломщик, работающий без ботнета, представляет нулевую опасность на всем множестве вариантов атак существующих и тех, которые еще появятся?
>>более слабое средство попросту бессмысленно
>
>Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых
>более сильным — согласен. Но имхо это не тот случай же.Именно тот.
>>более того, затраты на его использование, связанные
>>с кастомизацией, _больше_ затрат на грамотную защиту.
>
>Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?А также дополнительная настройка и поддержка сервисов, работающих поверх SSH.
>>> Не буду утверждать, что спец
>>>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>>>же.
>>Обсуждаемую в новости проблему он закрывает.
>
>Хорошо, но в реале все равно приходится защищаться от всего, что только
>можно придумать.Постулат безопасности: система считается достаточно защищённой, если противнику для её взлома требуется затратить больше средств, чем он получит бонусов в результате взлома.
>>И бесполезен. Только сами потом голову будете ломать, на какой же порт
>>вы его повесили. И не просканить — ваша собственная защита ваш
>>IP и заблокирует, останется только… создавать/арендовать ботнет?!
>
>Я не говорил, что на всех машинах надо его еще и разным
>делать ) Оно конечно будет на какую-то долю процента эффективнее, но
>тут тоже согласен, шкурка вычинки не стоит.
>А уж один новый порт можно и запомнить, особенно если выбирать его
>не совсем из /dev/urandomМожно. Только порты типа 2022 и так уже нередко сканят. ;) Да и смысл перевешивать на легко угадываемый порт?!
>>>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>>>непрофессиональная, но от этого не перестающая быть нежелательной.
>>Она с тем же успехом отвалится и от других, более жёстких и
>>эффективных, мер.
>
>Более жестких и эффективных, чем "нет у меня никакого ssh"? До "если
>найду" еще дойти надо, с некоторыми затратами времени и сил.Нормальной системе брутфорс попросту не страшен. А насчёт «дойти надо» — кому надо, тот и дойдёт. И тогда плакали все ваши, пардон, извращения.
>>Во-первых, повторюсь: перенос порта НЕ есть маскировка.
>
>Я лично под этим термином понимаю что-то вроде "меня здесь нет". И
>тогда вполне маскировка, хоть и вполне преодолеваемая, конечно.Перенос порта — это переезд из одной квартиры в другую в том же доме. Вот port knocking — это да, маскировка. Со своими неудобностями, но всё же неплохой и порой оправданный метод.
>>Во-вторых, просканить порты ботнетом — легко и безопасно.
>
>Ладно, тогда так: вы считаете, что любой взломщик, работающий без ботнета, представляет
>нулевую опасность на всем множестве вариантов атак существующих и тех, которые
>еще появятся?Нет, наоборот. Но взлом одиночкой будет вестись, если он не мазохист или не смог найти дыру в используемом SSH-сервере (а это уже, согласитесь, далеко не уровень kiddie-брутфорсера), через другие сервисы: WWW, FTP, SMTP… Хакер может попробовать типовые комбинации, типа test:test, но не более. SSH (точнее, самые популярные его реализации) достаточно надёжен, чтобы открывать его всему миру — если его надёжность не ослабляется кривой политикой безопасности.
>>Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых
>>более сильным — согласен. Но имхо это не тот случай же.
>Именно тот.
>SSH (точнее, самые популярные его реализации) достаточно надёжен, чтобы открывать его всему миру — если его надёжность не ослабляется кривой политикой безопасности.Хотел спросить, хотите ли вы сказать, что тут все возможные (и в будущем) атаки на сервис ограничиваются прямым перебором пароля, но вы ниже ответили. Возможно, мне стоит умерить фантазию и паранойю, не спорю )
>>Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?
>А также дополнительная настройка и поддержка сервисов, работающих поверх SSH.Под вписыванием порта в конфиги и имел в виду настройку сервисов. Если только это, то невелики затраты, имхо.
>>Хорошо, но в реале все равно приходится защищаться от всего, что только
>>можно придумать.
>Постулат безопасности: система считается достаточно защищённой, если противнику для её взлома требуется
>затратить больше средств, чем он получит бонусов в результате взлома.К этому постулату уже сложновато приводить взломы, не имеющие явной коммерческой ценности для автора. А если в его бонусы еще и входит удовольствие уже от процесса, то еще сложнее.
Хотя да, и по нему же можно говорить, что из
> насчёт «дойти надо» — кому надо, тот и дойдёткакой-то процент атакующих будет отваливаться на каждой принятой мере безопасности, так как оно им не настолько надо.
>>А уж один новый порт можно и запомнить, особенно если выбирать его
>>не совсем из /dev/urandom
>Можно. Только порты типа 2022 и так уже нередко сканят. ;) Да
>и смысл перевешивать на легко угадываемый порт?!22345, 12322, 22446, 46822, 22{любое запоминающееся трехзначное число},... Пусть угадывают )
>Перенос порта — это переезд из одной квартиры в другую в том
>же доме. Вот port knocking — это да, маскировка. Со своими
>неудобностями, но всё же неплохой и порой оправданный метод.Аналогия имхо не совсем точна, в сторону большей благоприятности. В реале взломщик не будет же бегать по многоквартирному дому, ища того, кто ему надо, если по известному номеру квартиры его не оказалось.
Если позволить себе еще раз дернуть военные аналогии, перенос порта — малозаметность, port knocking — незаметность. Второе, конечно, эффективнее, но и минусы больше, соответственно область применения меньше.
>Перенос порта — это НЕ маскировка. И obscurity в данном случае переводится
>НЕ как «маскировка», а скорее как «запутанность». Если брать военную аналогию
>(я так надеялся, что вы не совершите этой ошибки с маскировкой,
>но что поделать…)Другую аналогию: человек пытается вылезти за зону артобстрела, а ему вслед: "куда, дурачок? оставайся, будем прикрываться здесь!"...
>>Перенос порта — это НЕ маскировка. И obscurity в данном случае переводится
>>НЕ как «маскировка», а скорее как «запутанность». Если брать военную аналогию
>>(я так надеялся, что вы не совершите этой ошибки с маскировкой,
>>но что поделать…)
>
>Другую аналогию: человек пытается вылезти за зону артобстрела, а ему вслед: "куда,
>дурачок? оставайся, будем прикрываться здесь!"...Некорректно. Чуть-чуть корректнее — человек перелезает из одного окопа в другой, где народу меньше. Но для артиллерии он по-прежнему досягаем, в этом плане ничего не изменилось.
>Согласен, хотя тема тут всё-таки начиналась только с ботов.Вообще, ИМХО, обсуждаемая в новости тема выеденного яйца, если честно, не стоит.
>Уже писал в другой ветке (#52):
>
>Использование нестандартного порта увеличивает перебор _на_ 2^16 (немного больше 65000), добавление к
>паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом,
>если в пароле больше 2-х символов, выбор нестандартного порта не даст
>заметного улучшения безопасности.
>
>И еще здесь уже было правильно сказано (#80):
>
>Перенос порта — это чистой воды security by obscurity.если к переносу порта использовать какие-то возможности фильтра, типа recent в netfilter,
то возможность подбора правильной комбинации порта+порта составит ~2^32 (>4000000000)
--dport $SSH -m recent --rcheck --name Any_nm -j ACCEPT
--dport $SSHENABLE-1 -m recent --name Any_nm --remove -j DROP
--dport $SSHENABLE -m recent --name Any_nm --set -j DROP
--dport $SSHENABLE+1 -m recent --name Any_nm --remove -j DROP
Интересная идея про -m recent . Можно подробнее ? С описанием как это работает. Спасибо.
посмотри совет #18 в этой статье - http://rus-linux.net/nlib.php?name=/MyLDP/sec/openssh.html
да и man iptables рулит
>паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом,
>если в пароле больше 2-х символов, выбор нестандартного порта не даст
>заметного улучшения безопасности.вы в этом так уверены? а я то думал, что увеличение как-то так пойдет:
128^(N+1)-128^N
где N длинна текущего пароля и N+1 длинна пароля увеличенного на один символ.
т.е. если у меня пароль из 6-ти символов и я увеличиваю его на один символ, то к перебору добавляется вариантов:
128^7-128^6=558551906910208
но т.к. я не пользуюсь специфичными символами, таблица со 128 сокращается до: 62-х (26*2+10), в этом случае:
62^7-62^6=3464814370624вот и решай что выгоднее, переносить ссх, или добавить один символ к паролю...
но опять же найди админа у которого пароль 6-7-ми символьнй, у меня, например, нет паролей меньше 10-и символов.
>>паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом,
>
>вы в этом так уверены? а я то думал, что увеличение как-то
>так пойдет:
>128^(N+1)-128^N
>где N длинна текущего пароля и N+1 длинна пароля увеличенного на один
>символ.- это одно и то же.
или В 128 раз,
или НА 128^(N+1)-128^N штук
>>вы в этом так уверены? а я то думал, что увеличение как-то
>>так пойдет:
>>128^(N+1)-128^N
>>где N длинна текущего пароля и N+1 длинна пароля увеличенного на один
>>символ.
>
>- это одно и то же.
>или В 128 раз,
>или НА 128^(N+1)-128^N штукчитаем: "добавление к паролю всего одного символа увеличит перебор _в_ 128 раз"
тут говориться о приросте, а не кол-ве перебираемых комбинаций.
кол-во будет 128 раз больше, да.
прирост будет: 128^(N+1)-128^N.128^3-128^2
2080768128^2*128
2097152
Поддерживаю. SSH на другой порт и неожиданностей больше нет.
>Поддерживаю. SSH на другой порт и неожиданностей больше нет.в данный момент может это и неплохое решение (просто потому что тупо перебирается логин и пароль), но кто знает, что будет в дальнейшем, лучше думаю все-таки разграничить доступ по этому порту только нужным компам
Только поправочка. Метод хорош, если вам просто нужно закрыть вход для любопытных глаз, например как раз для целей создания ботнета. Смысл перебирать каждый порт на левых IP??? Проще найти SSH на стандартных портах. Тем более, что если порт нестандартный, то скорее всего и подобрать пароль для машины будет гораздо сложнее.
НО! Если ваш сервер/сеть представляет для кого-то интерес, то сменить порт - это ничто. Хотя как первый этап защиты пойдёт. А если ещё и закрывать порт при подозрениях сканирования портов тоже неплохо будет.
>Только поправочка. Метод хорош, если вам просто нужно закрыть вход для любопытных
>глаз, например как раз для целей создания ботнета. Смысл перебирать каждый
>порт на левых IP??? Проще найти SSH на стандартных портах. Тем
>более, что если порт нестандартный, то скорее всего и подобрать пароль
>для машины будет гораздо сложнее.
>НО! Если ваш сервер/сеть представляет для кого-то интерес, то сменить порт -
>это ничто. Хотя как первый этап защиты пойдёт. А если ещё
>и закрывать порт при подозрениях сканирования портов тоже неплохо будет.Перенос порта — это чистой воды security by obscurity. Защищаться-то ведь надо от самой сильной атаки, а это обычно как минимум целенаправленное сканирование портов и подбор по конкретным учётным записям. Тратить время и силы на настройку и поддержку прочих решений — только лишний гемморой наживать.
>Поддерживаю. SSH на другой порт и неожиданностей больше нет.согласен. ибо на перебор портов уже защита сработает.
> согласен. ибо на перебор портов уже защита сработает.А если перебор распределенный, тоже сработает? От распределенного брутфорса вон не срабатывает. :)
Дуууууу ... На перебор паролей значит не сработает, а на перебор портов - таки да? Да ви таки сказочник :)
регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие логины типа test? Перевешивать на левый порт SSH не буду, пусть мучаются подбирают, использую ключи вместо паролей )
>регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие
>логины типа test?а почему думаете нет? есть кривые настройки ssh в которых возможно разрешение конектить всем. потом жертва создает для теста юзеря, мозг естестна генерит что-то типа "test213" через которые его потом и имеют...
усложнить пасс и менять его каждые N дней, не вижу проблем чтоб добавить не стандартный порт, запретить конекты из Антарктиды. Все это уже хорошее решение, даже при том что руки будут повышенной кривизны.
а вообще забыть про пароли и использовать ключи, не стандартные порты, органиченный список доверительных хостов. Главное мозг включить и не забывать что нет непреодолимых защит, все равно терморектальный криптоанализ выдает все пароли и явки... поменьше нужно рассказывать о применяемым приемам... косить под дурака мол все по дефолту))
>>регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие
>>логины типа test?
>
>а почему думаете нет? есть кривые настройки ssh в которых возможно разрешение
>конектить всем. потом жертва создает для теста юзеря, мозг естестна генерит
>что-то типа "test213" через которые его потом и имеют...подтверждаю. был случай именно тестовой учетки test. через нее и хапнули ;-) но т.к. учетка ничем не владела, кроме как сунуть в /tmp файлик весом в 1.5MB и запустить его на поиск других узлов - ничего другого не вышло.
а могли бы проверить с десяток local root exploit'ов
я бы еще рекомендовал повесить "дырку" на 22 порт. пускай пробуют.
Пользуйтесь ключами и будем вам счастье
Спасибо, такое счастье http://www.opennet.ru/opennews/art.shtml?num=17592 нам не нужно.
А нефиг создавать ключи с пустой пассфразой.
А зачем тогда ключи? Можно просто килобайтный пароль юзать.
>А зачем тогда ключи? Можно просто килобайтный пароль юзать.Можно и ssh отключить и сервервер в сейфе запереть ;)
> А зачем тогда ключи? Можно просто килобайтный пароль юзать.man ssh-agent
>> А зачем тогда ключи? Можно просто килобайтный пароль юзать.
>
>man ssh-agent+1 :))
++многофакторная аутентификация решает
След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени.
Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь не улучшению безопасности.
Видимо скоро от ssh придется отказаться, как в свое время от telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC рулит.
>След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени.
>
> Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь
>не улучшению безопасности.
> Видимо скоро от ssh придется отказаться, как в свое время от
>telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC
>рулит.Слишком толсто. Протокол никак не влияет на выбор идиотом логина/пароля admin:admin.
>
>Слишком толсто. Протокол никак не влияет на выбор идиотом логина/пароля admin:admin.Блин. Как ТЫ прав.
> След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времениЗамедлив перебор в 65 тысяч раз. Думайте головой иногда.
> Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь не
> улучшению безопасностиНаоборот. Новость как раз очень показательна - при такой распространенности unix систем, что на них начинают делать ботнеты, используют только уязвимости в людях.
> Видимо скоро от ssh придется отказаться, как в свое время от telnet. Т.к. переходить
> на гимор с сертификатам мало кто захочет. IPSEC рулит.Бредятина.
function request_from_bot_server_port_range() {i = get_worker_attakers()
if ( i )
PORT_MIN = 1024 + (65535 - 1024 * i);
PORT_MAX = 65535/i;return "PORT_MIN-PORT_MAX";
}PR = request_from_bot_server_port_range;
OPEN_PORTS = `nmap -sT server --scan-delay 2 -p $PR | grep open`
sleep 3600;
for i in $OPEN_PORTS
do
ssh root@server -i identity_file -p $i;
sleep 600;
done
Как-то так :)
В 65 тысяч раз он не замедлится. Он замедлится всего лишь на время, требуемое для сканирования портов.А вот всего лишь добавление еще одного символа к паролю замедлит подбор в 128 раз.
Именно так. Использование нестандартного порта увеличивает перебор _на_ 65000, добавление к паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом, если в пароле больше 2-х символов, выбор нестандартного порта не даст заметного улучшения безопасности.
>В 65 тысяч раз он не замедлится. Он замедлится всего лишь на
>время, требуемое для сканирования портов.
>
>А вот всего лишь добавление еще одного символа к паролю замедлит подбор
>в 128 раз.а вы не отслеживаете что кто-то перебирает у Вас порты? о_О
> а вы не отслеживаете что кто-то перебирает у Вас порты? о_Оа вы не отслеживаете что кто-то перебирает у Вас пароли?
> В 65 тысяч раз он не замедлитсяДа. При переборе 65 тысяч он вообще невозможен, потому что после обращения к 2-3 закрытым портам можно сразу банить.
>> В 65 тысяч раз он не замедлится
>
>Да. При переборе 65 тысяч он вообще невозможен, потому что после обращения
>к 2-3 закрытым портам можно сразу банить.Нет, просто можно одновременно подбирать пароли на 65 000 хостов.
И как это поможет?
>И как это поможет?Суммарная скорость подбора будет та же. Не забывайте, что речь сейчас идёт не о целенаправленных атаках. Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты. Например, узел A сканит порты 1024-1039, узел Б — 1040-1056 и т.д.
> Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты.Повторяю - это уменьшение эффективности в 65 тысяч раз.
>> Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты.
>
>Повторяю - это уменьшение эффективности в 65 тысяч раз.В рамках задачи ботнета — «найти как можно больше доступных шеллов» — нет. Ограничений на исходящие коннекты обычно нигде не делается, сканируй — не пересканируешь.
>Повторяю - это уменьшение эффективности в 65 тысяч раз.не "в", а "на"
>Т.к. переходить на гимор с сертификатам мало кто захочет.Никакого гемороя с сертификатами нет:
1. Создание ключа. Если не хватает знаний и умений на генерацию ключа, то для этого есть множество GUI и скриптов, которые не требуют параметров.
2. Прописывание в authorized_keys. Здесь даже сложно придумать сложность. Единственное, если из под другого юзера прописываешь, то надо поменять права файла.
3. Использование. Если из-под *nix системы, то достаточно поместить в нужное место и он сам подхватиться. В ином случае добавление -i ключ - не большая нагрузка. Из под виндоус putty прекрасно работает с ключами.Отказ от telnet - тоже не совсем верно. Он занял свою нишу. Например, все свичи у нас находятся в отдельном влане, недоступном для пользователей и управляются через telnet.
>[оверквотинг удален]
>
>Никакого гемороя с сертификатами нет:
>1. Создание ключа. Если не хватает знаний и умений на генерацию ключа,
>то для этого есть множество GUI и скриптов, которые не требуют
>параметров.
>2. Прописывание в authorized_keys. Здесь даже сложно придумать сложность. Единственное, если из
>под другого юзера прописываешь, то надо поменять права файла.
>3. Использование. Если из-под *nix системы, то достаточно поместить в нужное место
>и он сам подхватиться. В ином случае добавление -i ключ -
>не большая нагрузка. Из под виндоус putty прекрасно работает с ключами.ssh-agent :)) как уже писали))
> Видимо скоро от ssh придется отказаться, как в свое время от
>telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC
>рулит.Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак, пароль в открытом виде... особенно круто если вы за тридевять земель и по воздуху его шлете, ага). А локально порулить любой дурак может, только сидеть как цербер над железкой только потому что она тупая - не прикольно ни разу, имхо.
>>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
>
>Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак,
>пароль в открытом виде... особенно круто если вы за тридевять земель
>и по воздуху его шлете, ага). А локально порулить любой дурак
>может, только сидеть как цербер над железкой только потому что она
>тупая - не прикольно ни разу, имхо.заходите на сервак по ssh с него к свитчу по telnet и айда все крушить и ломать
>заходите на сервак по ssh с него к свитчу по telnetНу да, легко стоять на плечах гигантов :P. А без ssh-а (или иного секурного туннеля) то и опаньки.
>>заходите на сервак по ssh с него к свитчу по telnet
>
>Ну да, легко стоять на плечах гигантов :P. А без ssh-а (или
>иного секурного туннеля) то и опаньки.конечно, но пользовать то все равно можно, хоть и через костыли, если вдруг нужно ;)
Мне кажется что юзать телнет подставив ему SSH - редкий идиотизм. И изгаляться так приходится только благодаря проприетарным тормозам прогресса, которые все никак не снимутся с ручника и реализуют то что им проще а не то что реально удобнее клиентам...
>>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
>
>Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак,
>пароль в открытом виде... особенно круто если вы за тридевять земель
>и по воздуху его шлете, ага). А локально порулить любой дурак
>может, только сидеть как цербер над железкой только потому что она
>тупая - не прикольно ни разу, имхо.да ну?
посмотрите как-нибудь телнет-сессию между двумя WIN-серверами в одном домене
потом пишите ... ересь всякую
эммм... а что, кто-то ещё ходит по ssh не через ключи но через пароли? хм. ну что ж, ССЗБ как говорится. 'Тогда мы идём к вам!' (c)..// wbr
>
>эммм... а что, кто-то ещё ходит по ssh не через ключи но
>через пароли? хм. ну что ж, ССЗБ как говорится. 'Тогда мы
>идём к вам!' (c)..
>
>// wbrЧем плохи пароли?
>Чем плохи пароли?Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем остальным для которых открыт беспарольный доступ по ключам.
>>Чем плохи пароли?
>
>Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем
>остальным для которых открыт беспарольный доступ по ключам.Кейлоггеры решают эту проблему для парольной защиты. А ключи надо хранить на сменном носителе.
ключи надо хранить на сменном носителе.....
Пить надо меньше.
>ключи надо хранить на сменном носителе.....
>Пить надо меньше.Куда уж меньше.
>Кейлоггеры решают эту проблему для парольной защиты.Ну если так рассуждать то и файло ремовабельного носителя в принципе умыкнуть можно, в том числе и достаточно незаметно. Если вам подсунули кейлоггер - то и приблуду которая ключ с флехи вынет подсунут с таким же успехом.
>>Кейлоггеры решают эту проблему для парольной защиты.
>
>Ну если так рассуждать то и файло ремовабельного носителя в принципе умыкнуть
>можно, в том числе и достаточно незаметно. Если вам подсунули кейлоггер
>- то и приблуду которая ключ с флехи вынет подсунут с
>таким же успехом.Можно. Поэтому, как здесь уже не раз говорилось, главное - мозг(точнее, его наличие), а не ключи/пароли.
>Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем
>остальным для которых открыт беспарольный доступ по ключам.Ну если это машина, на которую заходят, то пофигу, пусть смотрят принимающий ключ, мастера то не получат
клаф, муторно с ключами и не всегда удобно
>клаф, муторно с ключами и не всегда удобноНе просто муторно и неудобно, а в некоторых случаях ещё и совсем невозможно. Не каждый клиент умеет работать с ключами, а ситуации, в которых только такие клиенты под рукой, бывают. MidpSSH, например: SSH application for Java compatible phones and other mobile devices.
midpssh как раз умеет по ключу, а в некоторых случаях даже _только_ по ключу (по паролю у него не получается)
>Не каждый клиент умеет работать с ключамизачем тогда беспокоится о безопастности!? если люди которые будут работать с системой не способны по бумажке-инструкции работать???
>>Не каждый клиент умеет работать с ключами
>
>зачем тогда беспокоится о безопастности!? если люди которые будут работать с системой
>не способны по бумажке-инструкции работать???Люди пускай работают как хотят. А программы не все умеют работать с ключами. Пример такой программы приводил выше.
Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"Причём, запоминается очень легко.
Самый лучший ключ - это мозг.
Ключ можно просрать, украсть, консоль открытой оставить, ...
'Rj;fyyjq' с одной 'y' грамотнее))
И циферок можно добавить) А вообще, есть словари для перебора и непереключённого русского, хотя и не столь популярны. Можно попытаться делать всякие нестандартные ошибки и замены букв...
>'Rj;fyyjq' с одной 'y' грамотнее))
>И циферок можно добавить) А вообще, есть словари для перебора и непереключённого
>русского, хотя и не столь популярны.А зря, скажу по секрету, в банковской сфере очень распространённый прием,
вплоть до неприличных - Yfnfif, Ktyjxrf, - Наташа, Леночка, Ukfd<e[ - ГлавБух,
Vjq Rjgm.nth - Мой Компьютер, Hf,jxbqGfhjkm - Рабочий Пароль, Ljvfiybq Gfhjkm - Домашниц Пароль и т.п. :)
>А зря, скажу по секрету, в банковской сфере очень распространённый прием,Этот прием очень распостранен у завирусованых дебилов из вконтакта просравших свои пароли, так что увы, банкиры оказались не оригинальнее чем типовой дебил кормящий рыб в контакте :D.
>>А зря, скажу по секрету, в банковской сфере очень распространённый прием,
>
>Этот прием очень распостранен у завирусованых дебилов из вконтакта просравших свои пароли,
>так что увы, банкиры оказались не оригинальнее чем типовой дебил кормящий
>рыб в контакте :D.Собственно, это зачастую одна и та же аудитория…
я думаю что в итоге хаксоры составят словарики на такие пароли, благо, конверсия существующих словарей в вот такие возможна в автоматическом режиме, на 1 дыхании. Так что эффективность такого подхода имхо весьма сомнительна, особенно после того как было две убедительных выборки по бакланам с вконтакта показывающим что немалый процент оных строит пароли именно так.
> Можно попытаться делать всякие нестандартные ошибки и замены букв...Собственно так же и создавать словарики.
Спасли бы ситуацию контрольные фразы, типа "Любимый футбольный игрок соседа",
или в связи с тотальной ГУЁвизацией, приделать пересылаемый Image объект с каляками.
>Самый лучший ключ - это мозг.Самый лучший снифер это паяльник.
>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>
>Причём, запоминается очень легко.man apg - не катит?
>Самый лучший снифер это паяльник.А вот от такого помогает ключ. Который можно и не таскать всегда с собой, а заодно можно и экстренно прое...ть "в случае чего".Правда тут еще вопрос надо ли, но тут уже по ситуации и в меру собственной дурости и храбрости.
>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>
>Причём, запоминается очень легко.
>Для системного администратора такой пароль возможен, только если он помнит раскладку клавиатуры наизусть. А я однажды видел в Германии клавиатуру с нестандартной раскладкой, и кто гарантирует что такая не будет единственно доступной?
>>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>>
>>Причём, запоминается очень легко.
>>
>
>Для системного администратора такой пароль возможен, только если он помнит раскладку клавиатуры
>наизусть. А я однажды видел в Германии клавиатуру с нестандартной раскладкой,
>и кто гарантирует что такая не будет единственно доступной?В принципе верно. Хотя ИТ-шнику не уметь вслепую находить клавиши — ИМХО, недостойно. Но клавиатуры могут попасться самые разные (например, клавиатура мобильника, которая отнюдь не QWERTY) — а пытаться моторную память превратить в визуальную получается далеко не всегда, да и муторно это.
Сервер согласился что пароль рута "Мао Дзедун" ?
ничего муторного с ключами нет, 2 раза прочел, 1 раз понял, 1 раз настроил.
А потом только любуешься на логи...
С сложным паролем тоже только любуешься на логи. И в чем выигрыш? А "любоваться" можно и на хренадцать мегов логов, если не повезло и брутят совершенно внаглую...
>С сложным паролем тоже только любуешься на логи. И в чем выигрыш?
>А "любоваться" можно и на хренадцать мегов логов, если не повезло
>и брутят совершенно внаглую...выигрыш в том, что ты экономишь время при заходах и не мучаешь клаву лишний раз забивая или копи-пастя пароль, а при наличии 10+ серверов у тебя либо везде один пароль - что является уязвимостью, либо табличка под рукой с этими паролями - что является уязвимостью. вот и думай кто дурак.
Судя по логам идет подбор по логинам:bin
clamav
ftp
mysql
news
nobody
root
www-data
я делал не читая... там всё логично
1. По возможности использовать ключи, а не пароли.
2. Всегда использовать только зашифрованные ключи с пассфразой, чтобы доступ к одной машине с ключами не позволил получить доступ ко всем остальным.На самом деле, главная проблема: сервера с кучей пользователей, которых трудно заставить использовать надежные пароли.
>1. По возможности использовать ключи, а не пароли.
>2. Всегда использовать только зашифрованные ключи с пассфразой, чтобы доступ к одной
>машине с ключами не позволил получить доступ ко всем остальным.
>
>На самом деле, главная проблема: сервера с кучей пользователей, которых трудно заставить
>использовать надежные пароли.PAM
NSS
и все эти пользователи имеют доступ к серверу по SSH ?
тогда уж лучше вручную выдавать, или автоматически генерировать пароли
> и все эти пользователи имеют доступ к серверу по SSH ?Да. Например, это университетский сервер с SSH-доступом для студентов.
> тогда уж лучше вручную выдавать, или автоматически генерировать пароли
Так и делаем, но у пользователей остается возможность изменить пароль.
>Так и делаем, но у пользователей остается возможность изменить пароль.Забрать passwd :)
>
>>Так и делаем, но у пользователей остается возможность изменить пароль.
>
>Забрать passwd :)/etc/passwd? Да хоть обчитайся.
>>
>>>Так и делаем, но у пользователей остается возможность изменить пароль.
>>
>>Забрать passwd :)
>
>/etc/passwd? Да хоть обчитайся.нет, бинарь :)
С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его нельзя (если тем же strace посмотреть, очень много где используется)
>>>
>>>>Так и делаем, но у пользователей остается возможность изменить пароль.
>>>
>>>Забрать passwd :)
>>
>>/etc/passwd? Да хоть обчитайся.
>
>нет, бинарь :)
>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>нельзя (если тем же strace посмотреть, очень много где используется)Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я в курсе.
>[оверквотинг удален]
>>>>Забрать passwd :)
>>>
>>>/etc/passwd? Да хоть обчитайся.
>>
>>нет, бинарь :)
>>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>>нельзя (если тем же strace посмотреть, очень много где используется)
>
>Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я
>в курсе.Ну вот, отберите права на запуск бинаря у обычных юзеров) Они и не сменят больше пароль
>[оверквотинг удален]
>>>
>>>нет, бинарь :)
>>>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>>>нельзя (если тем же strace посмотреть, очень много где используется)
>>
>>Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я
>>в курсе.
>
>Ну вот, отберите права на запуск бинаря у обычных юзеров) Они и
>не сменят больше парольВ этом месте и не догнал. "Забрать passwd" == скачать passwd, скопировать passwd.
# ls -al /usr/bin/passwd
-r-sr-xr-x 2 root wheel 6128 Nov 11 19:42 /usr/bin/passwd*удачи.
бредятина. есть 70 серваков, авторизация по паролям, за 8 лет пока не подобрали. а через 3*8лет - пензия. пущай перебирают
iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --update --seconds 600 --hitcount 4 -j DROPИ пускай долбятся хоть с миллиона хостов.
Будете сидеть и лапу сосать, когда вас задосят.
Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен
>Ты мазохист. тогда уж лучше закрой SSH если он тебе не нуженнормальный способ. блокируется ведь брутфорсер, а не весь интернет
>>Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен
>нормальный способ. блокируется ведь брутфорсер, а не весь интернети легального пользователя заблокирует если он чаще будете подключатся, это правило ведь не проверяет успешный вход был или нет, оно просто пакеты считает
>iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator
>--set
>iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator
>--update --seconds 600 --hitcount 4 -j DROP
>
>И пускай долбятся хоть с миллиона хостов.наивный аноним даже не представляет, что при переполнении таблицы , старые записи удаляются -- так что перебор достаточно производить ip_list_tot + 1 , в свою очередь ip_list_tot по умолчанию равен 100.
Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились. Наверное как раз потому что срач в логе на много мегов - админов задалбывает и они имеют тенденцию бороться с такой активностью. И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем они их так подберут...
>Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень
>нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились.
>Наверное как раз потому что срач в логе на много мегов
>- админов задалбывает и они имеют тенденцию бороться с такой активностью.
>И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи
>ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем
>они их так подберут...Полностью поддерживаю! :-)
>Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень
>нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились.
>Наверное как раз потому что срач в логе на много мегов
>- админов задалбывает и они имеют тенденцию бороться с такой активностью.
>И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи
>ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем
>они их так подберут...А ещё можно выдрать из логов особо внушительную подборку попыток подбора пароля, распечатать и принести генеральному, требуя повышения зарплаты за денную и нощную защиту его бизнеса от тысяч хакеров. ;)
>А ещё можно выдрать из логов особо внушительную подборку попыток подбора пароля,Это надо было делать чуть раньше - логи пухли одно время очень конкретно, но сейчас хаксоры перестали наглеть (видимо, потому что такой срач в логи часто ведет к озадачиванию админов как с этим срачем бороться) и перешли к медленным и распределенным сканам.
Копец юниксоиды, увидев новость что червь подбирает пароли по словарику из ста слов, сразу начинают толкать идеи что надо ssh на другой порт перевешивать, сделать вход по ключам и отпечаткам пальцев или вообще не пользоваться ssh.Это как некоторые отключаются от интернета, посмотрев нужные страницы, потому что в интернетах Вирусы.
В идеале оно правильно.
Если в сервисе нет необходимости он должен быть отключен
DenyHosts (http://denyhosts.sourceforge.net/) простая и действенная защита от подбора паролей по ssh.
Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????
>Неужели у всех доступ к сервакам по SSH открыт не только для
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????Ну, у всех не у всех, а мне вот удобнее так — в случае проблем на работе я могу в Сеть выйти хоть в Папуа Новой Гвинее, был бы GPRS или ещё какой способ достучаться. У всех свои задачи, и чем действительно хорош SSH — он даёт возможность их решать максимально безопасным в рамках их условий способом.
>Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????Прикинь, едешь ты в паровозе далеко-далеко от дома и тут тебе SMS прилетает от крона (или от начальника) с сообщением "Все пропало, шеф", если твоем GSM-телефону персональный IP не выделен (причем в роуминге), то не сладко тебе придется едь ты по-любому только для рабочего и домашнего компа доступ то открыл..
>Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????Прикинь, едешь ты в паровозе далеко-далеко от дома и тут тебе SMS
прилетает от крона (или от начальника) с сообщением "Все пропало, шеф",
если твоему GSM-телефону персональный IP не выделен (причем в роуминге), то
не сладко тебе придется ведь ты по-любому только для рабочего и
домашнего компа доступ то открыл..
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????А потом, когда что-то опнется, а у вас только какойнить n800 (а то и вовсе только мобила) да жпрс под рукой - всосать, да? Нет уж, спасибочки, я видел достаточно дятлов наступивших на эти грабли, когда что-то упало, а у них под рукой только жпрс. Как-то +1 к их числу быть совсем неохота.
Кстати для маскировки под пенька есть забавная штука - port knocking. Для тех кто не знает последовательность стукания по портам - никакого ssh у вас как бы вообще не существует :-)
>Кстати для маскировки под пенька есть забавная штука - port knocking. Для
>тех кто не знает последовательность стукания по портам - никакого ssh
>у вас как бы вообще не существует :-)Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот если большую часть дня по ним ходишь, то рулит ssh-agent и bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
>Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь, то рулит ssh-agent и
>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
>алиасы... девушка, дуйте читать man ssh_config, а еще жайлы засирали, блин, тоже поди ман на них не осилили?
# head /root/.ssh/config
Host XXX
User admin
Port 999
>[оверквотинг удален]
>>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
>>
>
>алиасы... девушка, дуйте читать man ssh_config, а еще жайлы засирали, блин, тоже
>поди ман на них не осилили?
>
># head /root/.ssh/config
>Host XXX
> User admin
> Port 999Тоже вариант, если везде используются разные порты. А Вы всегда сидите под рутом о_О:)?
>Тоже вариант, если везде используются разные порты. А Вы всегда сидите под
>рутом о_О:)?это правильный способ, а не вариант ;)
это удаленная машинка, на которой, в скрине, у меня идет работа с кучей других машинок, по-этому ничего страшного и криминального.
>это удаленная машинка, на которой, в скрине, у меня идет работа с
>кучей других машинок, по-этому ничего страшного и криминального.Ну да, такая "машинка" есть у многих (у нас даже несколько, под разные департаменты), но _зачем_ на ней сидеть под рутом :)?
Особенно если на "машинке" почти у всех запущен ssh-agent, и пользуется ей несколько человек?
Кстати, тогда уж /etc/ssh/ssh_config, который будет формироваться каким-нибудь скриптом, где-нибудь(в SQL, в LDAP, и т д) беря соотвествие хост-порт по крону :)
>>это удаленная машинка, на которой, в скрине, у меня идет работа с
>>кучей других машинок, по-этому ничего страшного и криминального.
>
>Ну да, такая "машинка" есть у многих (у нас даже несколько, под
>разные департаменты), но _зачем_ на ней сидеть под рутом :)?
>
>Особенно если на "машинке" почти у всех запущен ssh-agent, и пользуется ей
>несколько человек?она у меня монопольна в юзании. сидеть от юзера конечно можно было бы, но в данном случае не вижу разницы, тем-более рут упрощает жизнь, когда нужно что-то сделать с мониторилкой, которая соседствует со мной.
>Кстати, тогда уж /etc/ssh/ssh_config, который будет формироваться каким-нибудь скриптом, где-нибудь(в SQL, в
>LDAP, и т д) беря соотвествие хост-порт по крону :)да, и это еще правильнее решение, если ведется нормальная база серверов с таковым описанием (хост,алиаст_хост,ип,порт,юзер). единственное, что я предпочитаю не трогать системные конфиги, если можно обойтись локальными, но если юзеров у вас много сидит, то оно оправдано.
> а еще жайлы засирали, блин, тоже
>поди ман на них не осилили?А Вы мне теперь это всю жизнь будете припоминать, и обязательно анонимно?
По-моему, высказать обоснованную критику любого решения это право каждого человека, Вы не находите?
Если Вы считаете, что с моей стороны в чем-то эта точка зрения объяснена недостаточно исчерпывающе и точно, я предлагаю продолжить в той теме _дискуссию_ если Вы в чем-то не согласны с данной позицией, либо в личке :)
>> а еще жайлы засирали, блин, тоже
>>поди ман на них не осилили?
>
>А Вы мне теперь это всю жизнь будете припоминать, и обязательно анонимно?анонимы все помнят, анонимы все знают :) был бы ник, написал бы от него.
>По-моему, высказать обоснованную критику любого решения это право каждого человека, Вы не
>находите?
>Если Вы считаете, что с моей стороны в чем-то эта точка зрения
>объяснена недостаточно исчерпывающе и точно, я предлагаю продолжить в той теме
>_дискуссию_ если Вы в чем-то не согласны с данной позицией, либо
>в личке :)да, считаю, что вы не обоснованно раскритиковали жайлы, хотя это даже не критика, т.к. критика должны быть подтверждена фактами, коих не было. все что я хотел сказать, я сказал там, продолжать спор на эту тему думаю не уместно, вы сами сказали, что не хотите ни с кем ссорится и несколько раз делали попытки уйти из темы.
>да, считаю, что вы не обоснованно раскритиковали жайлы, хотя это даже не
>критика, т.к. критика должны быть подтверждена фактами, коих не было. все
>что я хотел сказать, я сказал там, продолжать спор на эту
>тему думаю не уместно, вы сами сказали, что не хотите ни
>с кем ссорится и несколько раз делали попытки уйти из темы.Факты были(я ответила на все разуменые комментарии и объяснила свою позицию детально), тема мне действительно надоела, но считаю, что Вы не правы в том, что факты я не предоставляла.
Если Вы хотите продолжить дискуссию, напишите в той теме, что именно я не подтвердила фактами, тут это оффтоп.
>Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь,... то надо, наверное, написать скриптик который сделает за вас обезьянью работу :D
>Как то это... слишком уморительно.Зато может спасти от такой напасти: когда кто-то слишком уж нагло брутит ssh, sshd имеет тенденцию довольно прилично кушать ресурсы, в общем то, при том не важно - удалась авторизация или нет, если их придет много, ресурсов будет на это дело покушано. Что как-то неприятненько. Ну и срач в логи.
>Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь, то рулит ssh-agent и
>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))Оно в принципе не замена порткнокинга. Например см. выше почему. И, собственно я не понял - а какие проблемы автоматизировать стучание на порты? Просто у вас то скриптик или что там еще для стукания - есть, а вот хаксор Вася с улицы не знающий как стучать, видит только закрытый порт. И откуда б ему узнать как там надо правильно стучаться по портам чтобы порт открылся? В итоге даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп от фаера. Это несколько лучше чем если б они в 20 рыл насели на sshd с активным брутом.
>[оверквотинг удален]
>
>Оно в принципе не замена порткнокинга. Например см. выше почему. И, собственно
>я не понял - а какие проблемы автоматизировать стучание на порты?
>Просто у вас то скриптик или что там еще для стукания
>- есть, а вот хаксор Вася с улицы не знающий как
>стучать, видит только закрытый порт. И откуда б ему узнать как
>там надо правильно стучаться по портам чтобы порт открылся? В итоге
>даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп
>от фаера. Это несколько лучше чем если б они в 20
>рыл насели на sshd с активным брутом.Хорошо, возможно, Вы правы. Просто в большой сети вероятность того, что какой-то "левый" пакет попадет не на тот порт, и нарушит последовательность, мне кажется, выше. Но, наверное, ей можно принебречь)
>[оверквотинг удален]
>>- есть, а вот хаксор Вася с улицы не знающий как
>>стучать, видит только закрытый порт. И откуда б ему узнать как
>>там надо правильно стучаться по портам чтобы порт открылся? В итоге
>>даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп
>>от фаера. Это несколько лучше чем если б они в 20
>>рыл насели на sshd с активным брутом.
>
>Хорошо, возможно, Вы правы. Просто в большой сети вероятность того, что какой-то
>"левый" пакет попадет не на тот порт, и нарушит последовательность, мне
>кажется, выше. Но, наверное, ей можно принебречь)"Левый пакет" с того же IP? Вероятность тут никак не зависит от размеров сети за фаерволом.
>"Левый пакет" с того же IP? Вероятность тут никак не зависит от
>размеров сети за фаерволом.Возможно, даже для публичного IP больше. Да, написала чушь. Скорее просто не хочется разбираться с тем, что *когда-нибудь* не пустит(что из-за большего числа хостов скорее случится), но, думаю, вероятность этого очень мала, так что, можно использовать:)
В общем, написала, повторюсь, чушь.
UPDATE: + чушь про публичный IP, он в любом случае-то публичный :)
>Неужели у всех доступ к сервакам по SSH открыт не только для
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????Разумеется. Вы http сервер тоже только для доверенных открываете?
Port knocking рулит.
Атаки с ботсетей наблюдаю уже далеко не первый год — почти столько, сколько прошло с первого поднятого SSH-сервера, доступного из инета. :) Ну пусть подбирают, что уж тут… Для особо упорных max-src-conn-rate в pf стоит, а те, кто себя аккуратно ведёт — может, за пару тыщ лет что-нибудь и подберут. :)
Можно iptables хитро настроить, чтобы он открывал 22 порт для соединения только после стука на какой-нить 43126 ;)
Такой же бесполезный костыль, как и ssh на нестандартном порте.
>Такой же бесполезный костыль, как и ssh на нестандартном порте.И даже вредный: с мобильника пока постучишься по всем портам, все таймауты отвалятся.
>И даже вредный: с мобильника пока постучишься по всем портам, все таймауты
>отвалятся.А скрипт написать? На какойнмть n8x0 вполне себе вариант :).А с чего-то более убогого ssh юзать слишком уж траходромно...
>>И даже вредный: с мобильника пока постучишься по всем портам, все таймауты
>>отвалятся.
>
>А скрипт написать? На какойнмть n8x0 вполне себе вариант :).А с чего-то
>более убогого ssh юзать слишком уж траходромно...Зато порой актуально. Я как-то раз с Motorola v535 что-то чинил. ;)
После n8x0 (которые вполне таскабельны с собой) ssh на остальных телефонах кажется каким-от нереальным порно...
>После n8x0 (которые вполне таскабельны с собой) ssh на остальных телефонах кажется
>каким-от нереальным порно...«Жизнь заставит — не так раскорячишься!» ©
Ну да, 1 разок не так давно было: забыл n800 зарядить и пришлось геморроиться с мобилы, putty-ей для S60, оставшейся с до-n800-ых времен. С тех пор я не забываю заряжать n800, т.к. оценил разницу в трудоемкости... :D.Хуже ssh с мобилы - только удаление гланд через *опу автогеном.
>Ну да, 1 разок не так давно было: забыл n800 зарядить и
>пришлось геморроиться с мобилы, putty-ей для S60, оставшейся с до-n800-ых времен.
>С тех пор я не забываю заряжать n800, т.к. оценил разницу
>в трудоемкости... :D.Хуже ssh с мобилы - только удаление гланд через
>*опу автогеном.Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно ключики лежат и прочие приятности. ;)
>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>ключики лежат и прочие приятности. ;)Кстати, Вы шифрование $HOME не делали? Если да, то dm-crypt (если на ноуте Linux)? Или как-то еще?
Просто задумалась, как решить проблему возможной потери вместе с железкой какой-то информации... (кстати, и той же N800, которую я с собой тоже всегда тягаю, ноут таки слишком тяжелый для повседневного ношения, во всяком случае, для меня)
>
>>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>>ключики лежат и прочие приятности. ;)
>
>Кстати, Вы шифрование $HOME не делали? Если да, то dm-crypt (если на
>ноуте Linux)? Или как-то еще?Делал через vnconfig. Думаю в отпуске почистить систему и переехать на softraid. Да, это не Linux, это OpenBSD. :)
>Просто задумалась, как решить проблему возможной потери вместе с железкой какой-то информации...
>(кстати, и той же N800, которую я с собой тоже всегда
>тягаю, ноут таки слишком тяжелый для повседневного ношения, во всяком случае,
>для меня)Это дело вкуса. :) Мой весит два кило — будучи таблеткой и с усиленной батареей. Когда доломаю — возьму что-нибудь ещё полегче (думаю всё же отказаться от функционала таблетки, сейчас стало малоактуально). Зато это настоящий, в полном смысле этого слова, персональный компьютер. :)
>Да, это не Linux, это OpenBSD. :)На ноуте :).А кстати там управление питанием то нормальное? А то и с линухами то грабли бывают (да и не только с ними). А как с этим дела у OpenBSD?
P.S. это не попытка потроллить, мне просто натурально интересно состояние дел.
> Мой весит два кило
Мде. ИМХО, таскать немелкую дурынду весом 2 кг *везде* - как-то не прикольно ни разу.
> Зато это настоящий, в полном смысле этого слова, персональный компьютер. :)
А придумайте что n8x0 не сможет чего сможет он в таком контексте? Единственное разумное что я вижу - эзернет проводной. И то кому сильно надо даже проводной эзернет через usb-ethernet сетевки цепляли AFAIK, впрочем я просто сделал так что могу попасть по wi-fi или gprs куда мне надо и лично мне проводной эзернет не требуется :P
>>Да, это не Linux, это OpenBSD. :)
>
>На ноуте :).А кстати там управление питанием то нормальное? А то и
>с линухами то грабли бывают (да и не только с ними).
>А как с этим дела у OpenBSD?Управление питанием работает, в том числе всякие SpeedStep'ы. Единственный заметный минус — sleep mode в ACPI не пашет, только в APM (правда, при четырёх часах работы от батарей и быстром старте самой ОС даже с GENERIC-ядром — это не такая уж и проблема). Как пишут разработчики, проблема не заснуть, проблема проснуться. :) Часть компов уже умеет просыпаться, но не более. А так — не жалуюсь, всё что можно было контролировать в винде, работает и здесь.
>> Мой весит два кило
>
>Мде. ИМХО, таскать немелкую дурынду весом 2 кг *везде* - как-то не
>прикольно ни разу.Я всё равно по жизни с сумкой хожу, про которую всегда спрашивают: «ты там что, кирпичи таскаешь?», — это просто стиль жизни, кому как удобнее. :)
>> Зато это настоящий, в полном смысле этого слова, персональный компьютер. :)
>
>А придумайте что n8x0 не сможет чего сможет он в таком контексте?Сел в метро, подключил мобильник, открыл экран — сижу, ковыряюсь в коде, пока в фоне ползёт почта и подключается Kopete (ОСь настроена автоматически подключаться к Сети при подключении мобильника или BlueTooth-модуля). По желанию — музыка, благо наличие жёсткого диска позволяет хранить далеко не один гигабайт. Трекпойнт вполне позволяет обходиться без мышки в иксах, с ним только в трёхмерные игры особо не поиграешь, да только когда последний раз до них руки доходили… В общем, это настолько же удобнее n800, насколько n800 удобнее обычного мобильника. ;)
>Единственное разумное что я вижу - эзернет проводной. И то кому
>сильно надо даже проводной эзернет через usb-ethernet сетевки цепляли AFAIK, впрочем
>я просто сделал так что могу попасть по wi-fi или gprs
>куда мне надо и лично мне проводной эзернет не требуется :PУ меня есть тенденция перегонять иногда по проводам музыку, клипы с YouTube и фильмы — проводной гигабит как-то с этим лучше справляется. ;)
Если б я был в вашей ситуации — наверняка бы думал именно о коммуникаторе. Если бы вы были в моей — наверняка юзали бы ноут. ;)
>>>Да, это не Linux, это OpenBSD. :)
>>
>>На ноуте :).А кстати там управление питанием то нормальное? А то и
>>с линухами то грабли бывают (да и не только с ними).
>>А как с этим дела у OpenBSD?
>
>Управление питанием работает, в том числе всякие SpeedStep'ы. Единственный заметный минус —
>sleep mode в ACPI не пашет, только в APMНе прошло и недели, как начавшийся h2k9 изменил и это. :)
CVSROOT: /cvs
Module name: src
Changes by: pirofti@cvs.openbsd.org 2009/11/23 09:21:54Modified files:
sys/arch/amd64/amd64: acpi_machdep.c machdep.c
sys/arch/i386/i386: acpi_machdep.c machdep.c
sys/dev/acpi : acpi.c acpibtn.c acpivar.hLog message:
Remove ACPI_SLEEP_ENABLED checks.This enables by default the suspend/resume paths in the kernel.
Okay deraadt@.
> Вы шифрование $HOME не делали?для $HOME/$USER лучше ecryptfs использовать как это в ubuntu 9.10 сделано
>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>ключики лежат и прочие приятности. ;)Таскать *везде* с собой ноутбяк мне как-то не прикольно, он как бы весит и места занимает... n800 то на поясе или в кармане болтается, как и телефон. С ноутом так не катит.А ключики можно на n800 положить.Вот только у пароля есть 1 плюс: он прокатывает на любом компьютере без предварительных условий.Т.е. меньше рисков при случае приложиться мордой об стол (с другой стороны - появляется риск попадания на сниффер клавы, так что тут аккуратность не помешает).
>>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>>ключики лежат и прочие приятности. ;)
>
>Таскать *везде* с собой ноутбяк мне как-то не прикольно, он как бы
>весит и места занимает... n800 то на поясе или в кармане
>болтается, как и телефон. С ноутом так не катит.А ключики можно
>на n800 положить.Дело вкуса.
>Вот только у пароля есть 1 плюс: он прокатывает
>на любом компьютере без предварительных условий.Т.е. меньше рисков при случае приложиться
>мордой об стол (с другой стороны - появляется риск попадания на
>сниффер клавы, так что тут аккуратность не помешает).А я доступ по паролю редко и запрещаю (ну, кроме рута, конечно). Просто удобнее ключи один раз за сеанс расшифровать и юзать без дополнительного пароля, чем каждый раз пароль вводить (особенно в том же транспорте не хочется свой пароль светить лишний раз — я набираю, конечно, достаточно быстро, но если по нескольку раз, то…)
>Такой же бесполезный костыль, как и ssh на нестандартном порте.Это как раз идеальное решние. Попросил бы вас описать не костыль, но вы, боюсь не осилите.
>>Такой же бесполезный костыль, как и ssh на нестандартном порте.
>
>Это как раз идеальное решние. Попросил бы вас описать не костыль, но
>вы, боюсь не осилите.Это НЕ идеальное (точнее, не универсальное) решение: есть ситуации, когда нет возможности или затруднительно делать port knocking.
Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная система (или пароли вообще не используются), то ботнет может максимум притормозить работу сети и/или sshd — да и это произойдёт в результате целенаправленной атаки, что уже совсем другой разговор. Замусоривание логов — миф, с логами надо уметь работать — иначе любой залётный хакер будет заставлять впадать в ступор. Иными словами, если быть нормальным админом, то подобные извращения попросту становятся не нужны.
>Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная
>система ...не соглашусь с вами , по той простой причине что окромя того, что перебор, никто пока не гарантирует, что в ssh не найдут такую-жу дыришу как недавно в реализации ssl от openssl/gnutls
P.S. дополнительный portknock позволит не делать "резких движений" по обновлению ПО, особенно такого критичного как ssh.
>>Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная
>>система ...
>
>не соглашусь с вами , по той простой причине что окромя того,
>что перебор, никто пока не гарантирует, что в ssh не найдут
>такую-жу дыришу как недавно в реализации ssl от openssl/gnutls
>
>P.S. дополнительный portknock позволит не делать "резких движений" по обновлению ПО, особенно
>такого критичного как ssh.Так в том-то и дело, что в новости речь идёт о том, что «ах, ботнет, какстрашножыть». Ну, пробует народ комбинации «ftp:ftp» и «test:test», ну и пусть пробует. Если найдут страшную дыру в той или иной распространённой реализации SSH (или самом протоколе), то это ничего не изменит в случае целенаправленной атаки, в ходе которой используется и сканирование портов в том числе.
Port knocking помогает бороться не столько против перебора тупых паролей ботнетами, сколько против сканирования портов — это, всё же, разные угрозы. И повторю: да, эта технология достаточно эффективна, просто иногда неприемлема. :)
специально вывесив год назад машинку в тырнет могу сказать, что ботнет этот (точнее сам скрипт) совершенствуетсясначала был тупой скрипт, который имел при себе список пользователей + список самых часто встречающихся паролей, долбил исключительно на 22
второй скрипт, помимо того, что имел связь с обновлениями списков (причем через dns), долбил 222,2222 и ещё пару вариантов, а так-же сравнивал свою базу пользователей с /etc/passwd, и в случае чего отправлял новые имена по http на всякие бесплатные хостинги
последний отловленный дополнительно ищет утилиты nmap, arp/arping, и в случае нахождения arp записей в первую очередь сканирует ip машинок в едином для зараженной машины ethernet "домене".
так чтаа.... все эти перевесил на другой порт... это полная фигня
>Зафиксирована новая ботнет-сеть, распространяющаяся через SSHА почему так долго фиксировали? Я давно заметил.
Смысл переставлять sshd на другой порт?
Пусть подбирают. Удачи в безнадёжном деле...Единственное, что напрягает ---- разбухание лог-файлов.
Поэтому 22-й порт зафаерволлил пока не пройдёт эпидемия...
Пора давно вводить политику запрета возможности создания простых паролей (по умолчанию). Как в виндовых серверах. Хочешь пароль 111, лезь во внутрь и отдельно снимай ограничения.
...
Nov 15 23:03:56 dropbear[6638]: Child connection from 93.92.47.25:54716
Nov 15 23:03:58 dropbear[6638]: login attempt for nonexistent user from 93.92.47.25:54716
Nov 15 23:03:58 dropbear[6638]: exit before auth: Disconnect received
Nov 15 23:03:58 dropbear[6639]: Child connection from 93.92.47.25:54965
Nov 15 23:04:00 dropbear[6639]: login attempt for nonexistent user from 93.92.47.25:54965
Nov 15 23:04:00 dropbear[6639]: exit before auth: Disconnect received
Nov 15 23:04:01 dropbear[6640]: Child connection from 93.92.47.25:55202
Nov 15 23:04:02 dropbear[6640]: login attempt for nonexistent user from 93.92.47.25:55202
Nov 15 23:04:03 dropbear[6640]: exit before auth: Disconnect received
Nov 15 23:50:38 dropbear[6641]: Child connection from 202.107.233.156:55877
Nov 15 23:50:42 dropbear[6641]: login attempt for nonexistent user from 202.107.233.156:55877
Nov 15 23:50:43 dropbear[6641]: exit before auth: Disconnect received
Nov 15 23:50:44 dropbear[6642]: Child connection from 202.107.233.156:56349
Nov 15 23:50:47 dropbear[6642]: login attempt for nonexistent user from 202.107.233.156:56349
Nov 15 23:50:48 dropbear[6642]: exit before auth: Disconnect received
Nov 15 23:50:52 dropbear[6643]: Child connection from 202.107.233.156:56769
Nov 15 23:50:54 dropbear[6643]: login attempt for nonexistent user from 202.107.233.156:56769
Nov 15 23:50:55 dropbear[6643]: exit before auth: Disconnect received
Nov 15 23:50:59 dropbear[6644]: Child connection from 202.107.233.156:57517
Nov 15 23:51:02 dropbear[6644]: login attempt for nonexistent user from 202.107.233.156:57517
Nov 15 23:51:03 dropbear[6644]: exit before auth: Disconnect received
Nov 15 23:51:04 dropbear[6645]: Child connection from 202.107.233.156:55148
Nov 15 23:51:10 dropbear[6645]: login attempt for nonexistent user from 202.107.233.156:55148
Nov 15 23:51:11 dropbear[6645]: exit before auth: Disconnect received
Nov 15 23:51:11 dropbear[6646]: Child connection from 202.107.233.156:55861
Nov 15 23:51:14 dropbear[6646]: login attempt for nonexistent user from 202.107.233.156:55861
Nov 15 23:51:15 dropbear[6646]: exit before auth: Disconnect received
Nov 15 23:51:15 dropbear[6647]: Child connection from 202.107.233.156:56347
Nov 15 23:51:19 dropbear[6647]: login attempt for nonexistent user from 202.107.233.156:56347
Nov 15 23:51:20 dropbear[6647]: exit before auth: Disconnect received
Nov 15 23:51:21 dropbear[6648]: Child connection from 202.107.233.156:56795
Nov 15 23:51:25 dropbear[6648]: login attempt for nonexistent user from 202.107.233.156:56795
Nov 15 23:51:26 dropbear[6648]: exit before auth: error reading: Connection reset by peer
Nov 15 23:51:26 dropbear[6649]: Child connection from 202.107.233.156:57351
Nov 15 23:51:31 dropbear[6649]: login attempt for nonexistent user from 202.107.233.156:57351
Nov 15 23:51:32 dropbear[6649]: exit before auth: Disconnect received
Nov 15 23:51:36 dropbear[6650]: Child connection from 202.107.233.156:57796надо наверное сегодня покумекать будет...
пароли в мозге хранить надо.makepasswd --minchars 10 --maxchars 10
vQU81uPUSDОтличный пароль. И запоминается нормально.
ну да, только пользователя root у меня нет, так что перебирать долго будут, а вот то что логи загаживают это плохо...
>будут, а вот то что логи загаживают это плохо...Правило айпитаблесу (или кому там у вас скормите) и сильно загаживающие логи - пойдут лесом. Можно просто отстреливать тех кто чрезмерно долбится, можно более кардинально - порткнокинг нарулить, тогда отстрелятся все кто не в курсе как правильно постучаться.
>>будут, а вот то что логи загаживают это плохо...
>
>Правило айпитаблесу (или кому там у вас скормите) и сильно загаживающие логи
>- пойдут лесом. Можно просто отстреливать тех кто чрезмерно долбится, можно
>более кардинально - порткнокинг нарулить, тогда отстрелятся все кто не в
>курсе как правильно постучаться.Да не то чтобы это сложно на wl500 сделать, просто лениво... пароль не подберут, имя пользователя не угадают, если только дыру в дропбире какую заюзают.
Фигасе, это 500gp так осаждают? Во оригиналы :). Интересно, что бы они делали если брут удался? :). И там проц не грузится? А то я на обычном серванте засек как-то довольно заметную нагрузку а при разборках что же кушает проц - заметил что орава дятлов насела на sshd и брутит так что только флуд в логах стоит :).
ну дропбир он какбы полегче sshd будет... я не замечал особых напрягов с точкой, в момент когда они ломились, если честно.
>с точкой, в момент когда они ломились, если честно.Я заметил 10% нагрузки на хост без причин. Ну, поинтересовался откуда оно - оказывется хаксоры толпой ssh брутят, в логи срут знатно. Поотстрливал на файрволе - жрач проца прекратился :). А дропбир - да, поменьше и полегче, но криптография все-равно на каждого лабуха раскочегаривается.
да и матрицу 10*100 (символов в пароле * кол-во машинок) ни какого труда запомнить не составит, выучить можно на вечер %)
>да и матрицу 10*100 (символов в пароле * кол-во машинок) ни какого
>труда запомнить не составит, выучить можно на вечер %)Ну тогда можно и ключик вызубрить а потом в хексэдиторе его наколотить :)))
>пароли в мозге хранить надо.это только тем, у кого он есть...
>пароли в мозге хранить надо.
>
>makepasswd --minchars 10 --maxchars 10
>vQU81uPUSD
>
>Отличный пароль. И запоминается нормально.И сколько десятков таких паролей сэр хранит в своём мозге?
>>пароли в мозге хранить надо.
>>
>>makepasswd --minchars 10 --maxchars 10
>>vQU81uPUSD
>>
>>Отличный пароль. И запоминается нормально.
>
>И сколько десятков таких паролей сэр хранит в своём мозге?Тс-с-с! Не пали, это же Онотоле!
>>>пароли в мозге хранить надо.
>>>
>>>makepasswd --minchars 10 --maxchars 10
>>>vQU81uPUSD
>>>
>>>Отличный пароль. И запоминается нормально.
>>
>>И сколько десятков таких паролей сэр хранит в своём мозге?
>
>Тс-с-с! Не пали, это же Онотоле!ну 17 храню. Пока
а что, никто не юзает fail2ban?
>Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IPнаписано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.
>написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.1. Через iptables баню на день IP-шник после 50 попыток. (скриптом автоматом в кроне) 2 года уже и нечему даже распухать.
2. Root закрыл вход по ssh
3.Пароль такой, что, - как говорил турецкий паша: раньше Дунай поднимется в небеса, и небо упадет на землю, прежде чем крепость Измаил падет. (Правда Суворов таки взял тогда крепость)
Вот сменить порт - это тема...
>>написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.
>
>1. Через iptables баню на день IP-шник после 50 попыток. (скриптом автоматом
>в кроне) 2 года уже и нечему даже распухать.Я баню за 5-10 попыток в течение минуты на несколько часов. Эффект 100%. :)
>2. Root закрыл вход по ssh
Это вообще обязательная мера (точнее, запрет входа по паролю).
>3.Пароль такой, что, - как говорил турецкий паша: раньше Дунай поднимется в
>небеса, и небо упадет на землю, прежде чем крепость Измаил падет.
>(Правда Суворов таки взял тогда крепость)Главное, не забывать его менять хотя б раз в год…
>Вот сменить порт - это тема...
… бесполезная. ;)
PS Имя пользователя хоть и простое, но не разу не попадалось в логах... вот такой зигзаг удачи.
>PS Имя пользователя хоть и простое, но не разу не попадалось в
>логах... вот такой зигзаг удачи.кстати о именах: на днях просматривая логи нашел имя: natasha :)
> а что, никто не юзает fail2ban?Смысл? Один хост делает всего 1 или несколько медленных банов. Так можно самому бан отхватить :)
Почему никто не догадался сделать обманку? Обманка пустит взломщика в виртуальный шелл под любым паролем и будет крутить ему мозги, пока ему не надоест.
>Почему никто не догадался сделать обманку? Обманка пустит взломщика в виртуальный шелл
>под любым паролем и будет крутить ему мозги, пока ему не
>надоест.Почему не догадался? honeypot'ам не первый десяток лет.
Вход по ключу, + проль)
+1
давно так сделал, теперь класть я хотел на эти переборы
>Вход по ключу, + проль)У ключа есть один минус. Он же впрочем и плюс. В голову не влезает, знаете ли. Поэтому иногда, если заранее ключ с собой не утянул - можно и всосать. С другой стороны, то же самое можно сказать и про желающих получить доступ к вашему ресурсу :).
так это.. ношу на мелкой флешке, как брилок вместе с ключами (железными от квартиры :)
>так это.. ношу на мелкой флешке,Я n800 юзаю, в том числе иногда и для ssh - не очень представляю себе как удобно юзать при этом флешки. Флешку и кабель везде с собой таскать? Вот *вы* и таскайте. И у меня большие сомнения что кто-то ломанет 12..15-символьные пароли которых явно нет в словарях за разумный срок. Удачи чувакам в их сломе, ага. Если они подберут их к моменту погасания солнца - мне уже будет все-равно, поверьте :P. Я знаю только один метод слома таких паролей - фишинг (да, вконтакт опять поимели и там и сложные пароли были). Но с ssh он имеет свойство не работать из-за проверки аутентичности хоста и наличия мозга у того кто за терминалом...
развели не флуд, а чёрт знает чтоссх накая вещь что доступ к ней надо граничиват по полной программе
и тогда не будут мощолить глаза записи в месседж логахменять порт это первое что придёт на ум (конечно же если человек не уверен что его пасс стойкий)
>развели не флуд, а чёрт знает что
>
>ссх накая вещь что доступ к ней надо граничиват по полной программеЕсли вы не можете доверять своему shell-серверу, то, боюсь, бояться надо не вежливых ботнетов…
>и тогда не будут мощолить глаза записи в месседж логах
Которые, вообще-то можно анализировать хотя бы даже grep'ом. У меня не возникает проблемы каждый день проглядывать (посмеиваясь) логи пяти серверов с доступом по SSH извне. Будет серверов больше — поставлю какую-нибудь утилиту для анализа, или сам наваяю.
>менять порт это первое что придёт на ум (конечно же если человек
>не уверен что его пасс стойкий)Если он в этом не уверен, то ему надо заниматься чем угодно, только не ИТ-безопасностью.
>ссх накая вещь что доступ к ней надо граничиват по полной программеКонечно, ведь приятнее всего когда сервак лежит и вы не можете ничего поделать как раз из-за граблей которые сами же себе и разложили :-).
да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))сервер пашет админ спит
>да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))
>
>
>сервер пашет админ спитЧитайте, на что именно вам отвечают. И с каких этот пор переезд сам по себе стал ограничительной мерой?
>да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))Он может лежать по другим причинам. И если ssh на выход админы все-таки обычно на фаерах не режут (т.к. пользуются :D) то вот нестандартные порты могут быть и прибиты (чтобы вируссы и прочая хрень типа троянов и всяких бэкдоров - всосали). Посему из какойнить энтерпрайзности на нестандартный порт - может и не получиться.
>сервер пашет админ спит
Хорошо если так. Но насчет ограничений - видел несколько прикольных epic fail-ов когда админы разрешали только trusted подсети, а потом ... потом сервак падал, админ в чистом поле с жпрсрм и - попу рвет, потому что жпрс ни разу не является доверяемой подсетью, разумеется. В лучшем случае админ окольными путями протискивался в свою подсеть. В хучшем сервак был в дауне на достаточно длительный срок.
Докладываю: сменил порт ssh. За Время наблюдения, - 4 часа,- ни одна сфолочь не попыталась обратиться к ssh по указаному порту.
Продолжаю наблюдение.
>Докладываю: сменил порт ssh. За Время наблюдения, - 4 часа,- ни одна
>сфолочь не попыталась обратиться к ssh по указаному порту.
> Продолжаю наблюдение.Скажи IP ;)
>Скажи IP ;)А зачем? ;)
Имени не знаешь - оно не соответствует нику, а пароль 15 значный с набором непечатно-матершинных символов. В nmap по скудному списку портов сразу поймешь на каком порту висит ssh - и что? Главно то, что всяка зараза не предполагает что 22 порт - не ssh. Он кстати вполне себе открыт.
И еще: на IP зарегистрирована реальная организация - открывать личную историю - не по Кастанеде.
>>Скажи IP ;)
>
> А зачем? ;)Чтобы сволочь появилась. ;) Не надо ко всему так серьёзно относиться. ;)
> Имени не знаешь - оно не соответствует нику, а пароль 15
>значный с набором непечатно-матершинных символов. В nmap по скудному списку портов
>сразу поймешь на каком порту висит ssh - и что? Главно
>то, что всяка зараза не предполагает что 22 порт - не
>ssh. Он кстати вполне себе открыт.
> И еще: на IP зарегистрирована реальная организация - открывать личную историю
>- не по Кастанеде.
>Не надо ко всему так серьёзно относиться. ;)Согласен. Буду работать над собой... =) в хорошем смысле...
Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По VPN коннектимся к серверу, а дальше чо хошь то и делаешь в локальной сети. В логах никаких переборов, и полная свобода действий. :)
>Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По
>VPN коннектимся к серверу, а дальше чо хошь то и делаешь
>в локальной сети. В логах никаких переборов, и полная свобода действий.
>:)Тоже хороший вариант, пока не понадобится коннектиться из Зимбабве с мобилы.
>Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По
>VPN коннектимся к серверуКакая разница, к какой службе будут перебирать пароли. Что, VPN более защищен чем ssh?
PS. После смены порта ssh в логах полная тишина - никто больше не суется.
Не так важно как, важно, чтобы не как у всех. И чтобы никто не знал :)Блин... хочу себе бот-нетик... Чтобы он чего-нить делал, данные скидывал, графики по ним рисовались... Или лучше рыбок завести? :)
>Не так важно как, важно, чтобы не как у всех. И чтобы
>никто не знал :)
>
>Блин... хочу себе бот-нетик... Чтобы он чего-нить делал, данные скидывал, графики по
>ним рисовались... Или лучше рыбок завести? :)Сделай ботнет для Android'ов, скоро будет актуально. ;)
надо чтоб порт ssh был функцией от времени :) с маленьким шагом
простейший portknock'ер работающий по icmp
-A INPUT -p icmp --icmp-type 8 -m length --length 153 -m recent --name pk --rsource --set -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 154 -m recent --name pk --rsource --update --hitcount 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 155 -m recent --name pk --rsource --update --hitcount 2 -j ACCEPT
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROPдля того чтобы открыть 22 порт достаточно и необходимо
ping -s 125 -c 1 адрес
ping -s 126 -c 1 адрес
ping -s 127 -c 1 адресколичество пакетов регулируется через --hitcount
сами числа передаются через длину icmp-echoхорош тем что инструмен "стучания" обычно доступен
Да, пока какой-нибудь роутер не добавить хитровы*банную IP опцию в заголовок.
>Да, пока какой-нибудь роутер не добавить хитровы*банную IP опцию в заголовок.какую?
man iptables
length
This module matches the length of the layer-3 payload (e.g. layer-4 packet) f a packet against a specific value or range of values.[!] --length length[:length]
за изобретение 5 :)
>[оверквотинг удален]
>
>для того чтобы открыть 22 порт достаточно и необходимо
>ping -s 125 -c 1 адрес
>ping -s 126 -c 1 адрес
>ping -s 127 -c 1 адрес
>
>количество пакетов регулируется через --hitcount
>сами числа передаются через длину icmp-echo
>
>хорош тем что инструмен "стучания" обычно доступенP.S.
поправка строка -A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck -j ACCEPT
должна выглядеть как
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck --hitcount 3 -j ACCEPTиначе доступ будет открыт при "попадании" первого пакета
На слабом канале 30кбит, Nmap выудил нестанданртый порт ssh за scanned in 27.15 seconds. Получается что использование нестандартного порта защиты не дает никакой, но от придурков ограждает.
Еще раз - попытка коннекта к 2-3 закрытым портам с одного хоста = бан.
Злой хакер хочет поиметь SSH? Не вопрос. Дайте ему эту возможность.Ставим honeypot и экономим время как хакера, так и свое. Хакер возится в "песочнице", получает удовольствие. СБ принимает меры, вычисляя причину столь пристального внимания к информационному ресурсу. Техническая сторона вопроса - развести фейковые аккаунты для хонейпота и реальные аккаунты пользователей по разным "песочницам" с одного порта. В случае, если атака идет по "живому" аккаунту - аккаунт переводится в разряд фейковых, пользователю меняют аккаунт на другой, с имени любимой кошечки пользователя "Kitty" на имя любимой собачки сисадмина "UsR711290-09". Пользователь перетерпит. А СБ пускай займется выяснением причин утечки логина пользователя.
>Злой хакер хочет поиметь SSH? Не вопрос. Дайте ему эту возможность.Ставим honeypot
>и экономим время как хакера, так и свое. Хакер возится в
>"песочнице", получает удовольствие. СБ принимает меры, вычисляя причину столь пристального внимания
>к информационному ресурсу. Техническая сторона вопроса - развести фейковые аккаунты для
>хонейпота и реальные аккаунты пользователей по разным "песочницам" с одного порта.
>В случае, если атака идет по "живому" аккаунту - аккаунт переводится
>в разряд фейковых, пользователю меняют аккаунт на другой, с имени любимой
>кошечки пользователя "Kitty" на имя любимой собачки сисадмина "UsR711290-09". Пользователь перетерпит.
>А СБ пускай займется выяснением причин утечки логина пользователя.P.S. Обеспечение безопасности информации - задача не только техническая. Порой проще слить хакеру дезу, чем героически сопротивлятся попыткам взлома исключительно техническими средствами.
ребяты -- это ботнет -- тут никто особо информацией на дисках не интересуется
Это, правда, не ssh.
это vsftpd:authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrator rhost=93.174.142.225 : 1959 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=61.152.239.49 : 33 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratur rhost=60.217.229.228 : 6871 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratore rhost=60.217.229.228 : 1564 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administratori rhost=60.217.229.228 : 1319 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrateur rhost=60.217.229.228 : 6871 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrator rhost=60.217.229.228 : 6869 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratore rhost=60.217.229.228 : 5307 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=200.156.25.75 : 1180 Time(s)но настойчивость поразительная...
Что ж тут поразительного? Бот каши не просит.
А по-моему, это всё идиотизм. Развели демагогию. Из присутствующих кто-то пострадал? То-то... СПИДа нет и не будет. Баста.
Ботнет сеть - ломает идиотов. Хоть сколько нибудь понимающий в математике и компьютерах представитель хомосапиенс понимает что перебором паролей КОМП_ПОД_АДМИНОМ (а не чайником) взломать удастся через ООчень много лет.Перенос порта - игрушка чтобы в логи не гадило и только. Криптостойкость увеличивается минуты на полторы.
iptables и/или хостэллоу помоему от брутфорса почти панацея.
Ломают не пароли. Повод задуматься.