Forum Debian Users Gang

karol · 2012-05-10 10:08:26

Witam,

Ostatnio zauważyłem, wzmożone próby zdobycia konta root przez ok 1500 nieudanych logowań do ssh. Oczywiście doinstalowałem fail2ban i w zasadzie uspokoiło się z alarmami. Postanowiłem trochę poluzować fail2ban i przy okazji przyjrzeć się sposobom jakie są wykorzystywane do tego typu ataków. Interesują mnie takie informacje: jakie hasła i loginy były wysłane w celu autoryzacji. Troszkę poszukałem w sieci i znalazłem honeyd jednak nie bardzo rozumiem mechanikę działania takiego oprogramowania. Oraz to czy spełni on moje oczekiwania. Może najpierw wyjaśnię topologie mojej sieci.

WAN >> router DIR-300 >> router2 192.168.0.200 >> klienci roter2 192.168.2.0/24 oraz 192.168.1.0/24

Router2 jest dostępny z zewnątrz ponieważ mam przekierowanie portu 22 z którego sam korzystam.
Teraz tak chciałem zainstalować honeypotd na 192.168.0.200 jednak jest to realna maszyna i zabawy honeyd mogłyby się na niej skończyć słabo dlatego też obawiam się takiego postępowania.
Druga rzecz jaka nasuwa mi się do głowy to instalacja honeyd na maszynie np. 192.168.1.10 i co za tym idzie przekierowanie portu na nią ale tym samym stracę łączność z router2 i dodatkowo 192.168.1.10 nie pracuje 24/h.
W takiej sytuacji wydaje mi się jedynie realne instalowanie honeyd na 192.168.0.200 tylko jak to zrobić żeby samemu nie wpaść w swoje sidła? może autoryzacja tylko po kluczach? ale czy to z kolei nie pozbawi funkcjonalności mojej pułapki. Chciałem poznać Wasze zdanie w tym temacie. Może są inne rozwiązania tego problemu, których chwilowo nie znam.

Ostatnio edytowany przez karol (2012-05-10 11:12:04)

Jacekalex · 2012-05-10 12:10:00

Do zablokowania włamu przez ssh spróbuj iptables hashlimit:
http://www.zolv.eu/node/60
albo intables recent:
http://www.ducea.com/2006/06/28/using-iptables-to-block-brute-force-attacks/

Do tego

Kod:

MaxAuthTries {liczba}

w sshd_config, i sshd na inny port, najlepiej 4 - 5 cyfrowy (nie musi działać na domyślnym 22).
Możesz też na routerze zrobić przekierowanie, zeby był widoczny w necie na porcie np 13139 lub innym.

Ograniczenie logowania do kluczy, i wyłączenie haseł tesktowych, to też niezły pomysł, można to zrobić tylko dla roota, można dla wszystkich lub dla grupy użyszkodników.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-05-10 12:41:08)

karol · 2012-05-10 16:41:58

Nie chodzi mi o całkowite zablokowanie tylko o logowanie tego co się dzieje np:

login pass from:
root root 72.158.250.1
root pAssword 72.158.250.1
root Admin1234 72.158.250.1
squid squid 72.158.250.1

Chyba rozumiem jak ma to wyglądać na domyślnych ustawieniach ustawić honeyd a na kosmicznym porcie będzie działało prawdziwe ssh z którego sam będę korzystał. Dobrze myślę?

Jacekalex · 2012-05-10 17:20:07

Logowanie masz w /var/log/messages lub syslogu lub auth.log, to kwestia wygrepowania z logu, co trzeba.
Można też skierować logi ssh bezpośrednhio do bazy Sql za pośrednictwem rsysloga.

A kombinować możesz na 10010 sposobów.

djjanek · 2012-05-11 09:00:26

napisac prosty skrypt ktory bedzie symulowal ssh poprosi o logi haslo i rozlacza, puszczasz to na 22 a swoje ssh na innym porcie.

Jacekalex · 2012-05-11 09:41:50

To akurat sam honeyd też potrafi.
Poza tym przy skrypcie nawet nmap w trybie sV pokaże, ze coś nie tak z wersją.
Lepiej od skryptu postawić chroota z drugim ssh, hasłem wygenerowanym przez

Kod:

head -c99 /dev/urandom | mimencode

albo najlepiej wyłączonym kontem root.

I niech się tam potem włamują ;)

Chociaż zazwyczaj wystarcza poczytać komentarze w pliku sshd_config:

Kod:

# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication

Wtedy root jest dostepy tylko po kluczu dsa/rsa.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2012-05-11 09:43:17)

rychu · 2012-05-11 09:54:26

mam wrażenie, że jakieś automaty z chin lubią macać port 22. ja sobie przestawiłem na swoim routerku żeby ssh nasłuchiwał na 222 i logi wyglądają trochę spokojniej

bobycob · 2012-05-14 07:28:22

Dokładnie tak jak pisze Rychu, załóż jakąś blokadę, bo czytanie logów to ci się szybko znudzi, każdy ze sposobów wymienionych przez kolegów jest skuteczny.

dominbik · 2012-05-14 11:44:38

swoją droga to zmieniony port może wykryć chyba nmap

Jacekalex · 2012-05-14 11:59:44

Swoją droga, jak ktoś chce zablokować nmapa to można pokombinować albo z celem TARPIT, albo hashlimit, żeby nmap tego innego portu nawet w pół roku nie znalazł

W dodatku roboty sieciowe zazwyczaj lecą po domyślnych portach,
i badają jeden potencjalny cel nie dlużej, niż minutę, a nie pół dnia.

Time (s)	Query
0.00012	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00141	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.138.125.86' WHERE u.id=1
0.00105	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.138.125.86', 1732401776)
0.00051	SELECT * FROM punbb_online WHERE logged<1732401476
0.00313	DELETE FROM punbb_online WHERE ident='3.129.39.85'
0.00063	SELECT topic_id FROM punbb_posts WHERE id=201726
0.00136	SELECT id FROM punbb_posts WHERE topic_id=21223 ORDER BY posted
0.00064	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=21223 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00094	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=21223 ORDER BY p.id LIMIT 0,25
0.00140	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=21223
Total query time: 0.01128 s

Forum Debian Users Gang

Ogłoszenie

#1 2012-05-10 10:08:26

karol - Użytkownik

Logowanie połączeń, haseł i loginów przez ssh

#2 2012-05-10 12:10:00

Jacekalex - Podobno człowiek...;)

Re: Logowanie połączeń, haseł i loginów przez ssh

Kod:

#3 2012-05-10 16:41:58

karol - Użytkownik

Re: Logowanie połączeń, haseł i loginów przez ssh

#4 2012-05-10 17:20:07

Jacekalex - Podobno człowiek...;)

Re: Logowanie połączeń, haseł i loginów przez ssh

#5 2012-05-11 09:00:26

djjanek - Użytkownik

Re: Logowanie połączeń, haseł i loginów przez ssh

#6 2012-05-11 09:41:50

Jacekalex - Podobno człowiek...;)

Re: Logowanie połączeń, haseł i loginów przez ssh

Kod:

Kod:

#7 2012-05-11 09:54:26

rychu - elektryk dyżurny

Re: Logowanie połączeń, haseł i loginów przez ssh

#8 2012-05-14 07:28:22

bobycob - Członek z Ramienia

Re: Logowanie połączeń, haseł i loginów przez ssh

#9 2012-05-14 11:44:38

dominbik - Członek DUG

Re: Logowanie połączeń, haseł i loginów przez ssh

#10 2012-05-14 11:59:44

Jacekalex - Podobno człowiek...;)

Re: Logowanie połączeń, haseł i loginów przez ssh

Stopka forum

Informacje debugowania