The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Кто то пытается подобрать пароль root!"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Кто то пытается подобрать пароль root!" 
Сообщение от anaga emailИскать по авторуВ закладки on 25-Окт-04, 12:01  (MSK)
Привет всем... Я тут недавно посмотрел свои логи на серваке, какойто хрень пытается получить пароль для рута простым способом перпебор. Подсоеденяется каждый раз с разных ИП, прогоняет около 50 паролей для рута и отключается... Правдо не брезгует и другими юзерами, благо юзеров у меня всего 5-7.
Лог лежит здесь... http://www.valgavg.edu.ee/secure

Чем можете помошь?

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Кто то пытается подобрать пароль root!" 
Сообщение от Beginner emailИскать по авторуВ закладки(??) on 25-Окт-04, 12:26  (MSK)
>Привет всем... Я тут недавно посмотрел свои логи на серваке, какойто хрень
>пытается получить пароль для рута простым способом перпебор. Подсоеденяется каждый раз
>с разных ИП, прогоняет около 50 паролей для рута и отключается...
>Правдо не брезгует и другими юзерами, благо юзеров у меня всего
>5-7.
>Лог лежит здесь... http://www.valgavg.edu.ee/secure
>
>Чем можете помошь?


Это постоянно случается.
Не используй слабые пароли.
Если сильно боишься - зарежь возможность логиниться снаружи и спи спокойно.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Кто то пытается подобрать пароль root!" 
Сообщение от fantom Искать по авторуВ закладки(??) on 25-Окт-04, 12:26  (MSK)
Такаяже хрень, причем чем дальше - тем больше....

Вроде как какой-то червяк такое творит, у меня по 10 IP за день "светятся"
1. Запретить ходить руту по ssh
2. разрешить ТОЛЬКО конкретного полдьзователя и с определенного диапазона IP-ов.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Кто то пытается подобрать пароль root!" 
Сообщение от anaga emailИскать по авторуВ закладки on 25-Окт-04, 13:06  (MSK)
Дело в том, что я сам пользуюсь рутом и имено через ssh, правдо обычно из внутреней сети, крайне редко - с одного внешнего IP, но хочется иметь возможность и порулить с какого нить "левого" IP.
А можно сделать так, чтобы ИП блокировался на день если этого ИП нет в списке разрешеных, и например два раза пароль для рута был набран неправильно?

Тогда переберать будет не по 50 паролей за раз, а только два!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Кто то пытается подобрать пароль root!" 
Сообщение от Keeper emailИскать по авторуВ закладки(??) on 25-Окт-04, 13:15  (MSK)
Можно сделать так.
1. Создать юзверя vasyapupkin, засунуть его в группу wheel.
2. Запретить root'у логиниться по ssh.
3. Логинится по ssh под юзверем vasyapupkin, затем делать su root.
4. А пароль root'а пусть ломают дальше. ^_^

Можно сделать и так.
1. Назначить руту пароль длиной символов так 8-9, из случайных маленьких букв, заглавных букв, цифр и знаков препинания.
2. Посчитать число комбинаций, (26+26+10+10)^9
3. Разделить на число паролей, проверяемых за день, пусть будет 500..600.
4. Перевести результат в годы и столетия.
5. Спать спокойно. ^_^

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Кто то пытается подобрать пароль root!" 
Сообщение от Keeper emailИскать по авторуВ закладки(??) on 25-Окт-04, 12:56  (MSK)
> Подсоеденяется каждый раз
>с разных ИП, прогоняет около 50 паролей для рута и отключается...
>Правдо не брезгует и другими юзерами, благо юзеров у меня всего
>5-7.

У меня та же фигня, только лезут корейцы (по данным whois). Действительно, похоже на червяк.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Кто то пытается подобрать пароль root!" 
Сообщение от anaga emailИскать по авторуВ закладки on 25-Окт-04, 13:11  (MSK)
А у меня судя по ripe.net из Москвы, испании, германии, нидерландов.. так что IP он скорее всего берет чужое :( И полoвины IP нет в списке ripe.net

Кстати, как из командной строки посмотреть, кому принадлежит IP?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Кто то пытается подобрать пароль root!" 
Сообщение от Keeper emailИскать по авторуВ закладки(??) on 25-Окт-04, 13:16  (MSK)
>Кстати, как из командной строки посмотреть, кому принадлежит IP?

whois <ip>

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Кто то пытается подобрать пароль root!" 
Сообщение от Keeper emailИскать по авторуВ закладки(??) on 25-Окт-04, 13:19  (MSK)
Это что, новый червяк какой-то? Или такое уже было раньше? Где бы про это почитать?
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Кто то пытается подобрать пароль root!" 
Сообщение от anaga emailИскать по авторуВ закладки on 25-Окт-04, 13:32  (MSK)
Кстати, про whois. Мой сервер отвечает
-bash: whois: command not found
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Кто то пытается подобрать пароль root!" 
Сообщение от Виктор Искать по авторуВ закладки(??) on 25-Окт-04, 14:07  (MSK)
>Кстати, про whois. Мой сервер отвечает
>-bash: whois: command not found


Так надо его поставить. Он есть в портах

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Кто то пытается подобрать пароль root!" 
Сообщение от anaga emailИскать по авторуВ закладки on 25-Окт-04, 14:14  (MSK)
>Так надо его поставить. Он есть в портах
Виктор, а как именно его поставить?! И в каких портах он есть? У меня Редхат 9. Как то я привык к rpm. Или я что то путаю?!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Кто то пытается подобрать пароль root!" 
Сообщение от Виктор Искать по авторуВ закладки(??) on 25-Окт-04, 14:22  (MSK)
>>Так надо его поставить. Он есть в портах
>Виктор, а как именно его поставить?! И в каких портах он есть?
>У меня Редхат 9. Как то я привык к rpm. Или
>я что то путаю?!


Не знаю как в Редхате, но во FreeBSD оно есть в портах.
если не ошибаюсь \usr\ports\net\whois

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "Кто то пытается подобрать пароль root!" 
Сообщение от virus_net emailИскать по авторуВ закладки(??) on 26-Окт-04, 10:34  (MSK)
Я тоже столкнулся с этой проблемой.
В итоге не парясь с su и т.п. я просто по фаиру заблокал 22 порт, но при этом не забыв разрешить вход с нескольких моих IP :)
Сделай так же и спи спокойно.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "Кто то пытается подобрать пароль root!" 
Сообщение от anaga emailИскать по авторуВ закладки on 26-Окт-04, 11:29  (MSK)
Хорошее решение, но повторяю, мне нужно иногда входить на сервак и с "левых" ИП...
Народ, а как вам такое решение: Переиминовать юзера root в юзера например lG23wer43, сделать нового пользователя root, и все ему запретить?! Ведь линукс опереирует при входе не иминами, а неким ID и ему всеравно какое имя у юзера с ID 500, что root, что lG23wer43 ??!
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "Кто то пытается подобрать пароль root!" 
Сообщение от Junior emailИскать по авторуВ закладки(ok) on 26-Окт-04, 13:15  (MSK)
>Хорошее решение, но повторяю, мне нужно иногда входить на сервак и с
>"левых" ИП...
>Народ, а как вам такое решение: Переиминовать юзера root в юзера например
>lG23wer43, сделать нового пользователя root, и все ему запретить?! Ведь линукс
>опереирует при входе не иминами, а неким ID и ему всеравно
>какое имя у юзера с ID 500, что root, что lG23wer43
>??!

Зачем такую ерунду делать?
Сказали же - запрети коннект для рута, разреши ТОЛЬКО для конкретного пользователя (необязательно с определённого IP) и работай. Нужна будет рутовая консоль дай команду su и готово. В чём проблема-то??
А ещё лучше настрой sudo и НЕ работай под рутом - чревато фатальным геморроем при нечаянной ошибке.
Если хочешь лишить рута прав - ставь LIDS на ядро.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "Кто то пытается подобрать пароль root!" 
Сообщение от anaga emailИскать по авторуВ закладки on 26-Окт-04, 13:33  (MSK)
>Зачем такую ерунду делать?
>Сказали же - запрети коннект для рута, разреши ТОЛЬКО для конкретного пользователя
>(необязательно с определённого IP) и работай. Нужна будет рутовая консоль дай
>команду su и готово. В чём проблема-то??
>А ещё лучше настрой sudo и НЕ работай под рутом - чревато
>фатальным геморроем при нечаянной ошибке.
>Если хочешь лишить рута прав - ставь LIDS на ядро.


Ок, убедил!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "Кто то пытается подобрать пароль root!" 
Сообщение от Junior emailИскать по авторуВ закладки(ok) on 26-Окт-04, 13:11  (MSK)
>>Так надо его поставить. Он есть в портах
>Виктор, а как именно его поставить?! И в каких портах он есть?
>У меня Редхат 9. Как то я привык к rpm. Или
>я что то путаю?!

Утилитой host

$ host 202.227.184.84
84.184.227.202.in-addr.arpa is an alias for 84.80.184.227.202.in-addr.arpa.
84.80.184.227.202.in-addr.arpa domain name pointer hnd01.aspwb.com.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "Кто то пытается подобрать пароль root!" 
Сообщение от dimus Искать по авторуВ закладки(??) on 26-Окт-04, 14:56  (MSK)
Еще очень полезная утилита - dig
При ее помощи много что можно нарыть
А пароль рута надо делать не 8-9 символов, а 15-20.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "Кто то пытается подобрать пароль root!" 
Сообщение от Arifolth emailИскать по авторуВ закладки(ok) on 26-Окт-04, 15:14  (MSK)
можно заблокировать фаерволом порт 22 на внешних интерфейсах
а открыть какоё-нить порт типа 60001 и с него натить или редиректить ну например на локалхост:22
кроме того - не надо забывать проназначение /etc/hosts.allow
можно аутентификацию в ssh по ключу настроить (если не ошибаюсь =) - а можно то почти однозначно иначе зачем оно нада)
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Кто то пытается подобрать пароль root!" 
Сообщение от fantom Искать по авторуВ закладки(??) on 26-Окт-04, 15:18  (MSK)
>>Так надо его поставить. Он есть в портах
>Виктор, а как именно его поставить?! И в каких портах он есть?
>У меня Редхат 9. Как то я привык к rpm. Или
>я что то путаю?!

Ищешь  пакет whois-........rpm и ставишь :)

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "Кто то пытается подобрать пароль root!" 
Сообщение от 78 Искать по авторуВ закладки on 27-Окт-04, 15:57  (MSK)
1) порт не 22
2) portknock
и все вышеперечисленное.
можно ведь в фаере ограничить круг своих ипарей.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру