Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-02-02 17:32:16

  Blackhole - Użytkownik

Blackhole
Użytkownik
Skąd: Chorzów
Zarejestrowany: 2005-09-07
Serwis

Ktoś się mi chce włamać na VPS. Co zrobić?

Hej!
W pliku [tt]/var/log/auth.log[/tt] zauważyłem takie wpisy:

Jan 29 04:19:19 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:22 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:24 doscniewoli sshd[11733]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:47 doscniewoli sshd[11736]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:50 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:52 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:54 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:55 doscniewoli sshd[11736]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:55 doscniewoli sshd[11736]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11744]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session closed for user root
Jan 29 04:20:02 doscniewoli CRON[11744]: pam_unix(cron:session): session closed for user smmsp
Jan 29 04:20:15 doscniewoli sshd[11776]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:18 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:19 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:22 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
...
Feb  2 17:27:21 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:24 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:27 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
...[/quote]
Od 29 stycznia do dziś jest takich wpisów już ponad [b]30 tyś[/b]:

Kod:

$ cat /var/log/auth.log | grep -i "failed password for root" | wc -l
30120

Wygląda, jakby ktoś chciał mi zrobił włam na VPS.
[b]Jak mogę zablokować możliwość logowania z powyższych adresów IP?[/b]

Ostatnio edytowany przez Blackhole (2018-02-02 18:36:00)


Ściskam prawicę, Jacek

[url]http://doscniewoli.pl[/url] — [b]Poznaj prawdę o pieniądzach[/b]
[url]http://www.youtube.com/watch?v=BlhFK2Gc1Nw[/url] — cz. I

Offline

 

#2  2018-02-02 19:38:44

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

fail2ban


A w wolnym czasie, robię noże :)
[img]http://nginx.urbinek.eu/_photos/signature.png[/img]

Offline

 

#3  2018-02-02 19:39:08

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.

I skonfiguruj firewala by odrzucał błędne próby połączenia różnych botów.

Offline

 

#4  2018-02-02 20:23:13

  Blackhole - Użytkownik

Blackhole
Użytkownik
Skąd: Chorzów
Zarejestrowany: 2005-09-07
Serwis

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

[quote=yossarian]Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.[/quote]
Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).

Ostatnio edytowany przez Blackhole (2018-02-02 20:24:12)


Ściskam prawicę, Jacek

[url]http://doscniewoli.pl[/url] — [b]Poznaj prawdę o pieniądzach[/b]
[url]http://www.youtube.com/watch?v=BlhFK2Gc1Nw[/url] — cz. I

Offline

 

#5  2018-02-02 20:35:31

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

[quote=Blackhole]Hej!
W pliku [tt]/var/log/auth.log[/tt] zauważyłem takie wpisy:

Jan 29 04:19:19 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:22 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:24 doscniewoli sshd[11733]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:47 doscniewoli sshd[11736]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:19:50 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:52 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:54 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:55 doscniewoli sshd[11736]: Received disconnect from 58.218.198.150: 11:  [preauth]
Jan 29 04:19:55 doscniewoli sshd[11736]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11744]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session closed for user root
Jan 29 04:20:02 doscniewoli CRON[11744]: pam_unix(cron:session): session closed for user smmsp
Jan 29 04:20:15 doscniewoli sshd[11776]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150  user=root
Jan 29 04:20:18 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:19 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:22 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
...
Feb  2 17:27:21 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:24 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb  2 17:27:27 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
...[/quote]
Od 29 stycznia do dziś jest takich wpisów już ponad [b]30 tyś[/b]:

Kod:

$ cat /var/log/auth.log | grep -i "failed password for root" | wc -l
30120

Wygląda, jakby ktoś chciał mi zrobił włam na VPS.
[b]Jak mogę zablokować możliwość logowania z powyższych adresów IP?[/b][/quote]
Hmm:

Kod:

iptables -N SSH
iptables -A INPUT -p tcp -m tcp -m multiport --dports 11523,21843  -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-sadd$
iptables -A SSH  -m hashlimit --hashlimit-upto 5/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name ssh -j ACCEPT
### iptables -A SSH -j LOG --log-prefix "SSH - zablokowany"
iptables -A SSH -j RETURN

Zrób sobie SSH na jakichś dziwacznych portach, podobnie jak powyżej.
Zrób też logowanie po kluczach SSH, a hasła wyłącz całkowicie.

Najpierw wygeneruj skopiuj i sprawdź, czy dzialłają klucze, a potem:
przyłączanie zrobisz: tak,, w konfigu /etc/ssh/sshd_config ustawiasz:

Kod:

PubkeyAuthentication yes
PasswordAuthentication no

N wszelki wypadek, jakbyś miał majstrować w konfigu sshd, zainstaluj sobie i wystaw na drugim porcie Dropbeara.

Dropbeara odpalisz takim poleceniem:

Kod:

dropbear -F -R -E -s -a -p *:{PORT}

Do majstrowania w konfigu sshd radziłbym  się przez Dropbeara zalogować, żeby sobie błędem w konfigu nie uceglić VPSa.

Ja  w ogóle na zdalnych serwerach zawsze trzymam dwa rożne demony sshd na rożnych portach.

Pozdro

Ostatnio edytowany przez Jacekalex (2018-02-03 20:35:06)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2018-02-03 14:53:08

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

[quote=yossarian]Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.[/quote]
E tam, ja u siebie miałem logowanie do konta root cały czas, z tym, że via klucze SSH. No i usługa stała na innym porcie niż domyślny i w zasadzie nie notowałem żadnych prób logowania, oczywiście poza moimi własnymi. xD

[quote=Blackhole]Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).[/quote]
Ja na telefonie mam wgranego termux'a:
https://termux.com/

To taki otwartoźródłowy terminal, którego funkcjonalność jest zbliżona do tej znanej z debiana. Np. można doinstalować pakiety od openssh via apt. Później można sobie stworzyć klucze SSH i uzupełnić odpowiednio konfigurację w stosownym pliku i logować się na serwery via [b]ssha[/b] bez żadnych haseł, loginów — wystarczy podać adres, czyli tak jak to wygląda normalnie na kompie. xD

Tu masz więcej:
https://wiki.termux.com/wiki/FAQ

Ostatnio edytowany przez morfik (2018-02-03 14:55:20)

Offline

 

#7  2018-02-03 15:40:41

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

[quote=morfik][quote=yossarian]Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.[/quote]
E tam, ja u siebie miałem logowanie do konta root cały czas, z tym, że via klucze SSH.[/quote]
Miałem na myśli logowanie na konto roota poprzez hasło. Jeśli dobrze pamiętam to standardowo jest to i tak wyłączone w Debianie.

[quote=Blackhole]Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).[/quote]
Logowanie na konto zwykłego użytkownika (zamiast roota) nie ma nic wspólnego z kluczami SSH.
Po drugie, JuiceSSH obsługuje klucze. Kiedyś używałem na tablecie — służył jako awaryjny lub podręczny dostęp do serwera.

Offline

 

#8  2018-02-03 15:48:56

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

Wstydzilibyście się używać zamkniętych aplikacji, gdy w około jest pełno otwartoźródłowych alternatyw. xD

Offline

 

#9  2018-02-03 15:51:19

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

Wygląda ciekawie.

Może zaniecham tego haniebnego czynu ;)

Offline

 

#10  2018-02-07 18:50:38

  hi - Użytkownik

hi
Użytkownik
Zarejestrowany: 2016-03-24

Re: Ktoś się mi chce włamać na VPS. Co zrobić?

o drop listach Pan słyszał?
http://www.spamhaus.org/drop/

to norma, że boty kopią, internet to ciągłe pole bitwy :)

Ostatnio edytowany przez hi (2018-02-07 18:52:16)


"Jeśli wolność słowa w ogóle coś oznacza, to oznacza prawo do mówienia ludziom tego, czego nie chcą słyszeć."
Eric Arthur Blair

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.018 seconds, 18 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00098 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.116.52.43' WHERE u.id=1
0.00098 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.116.52.43', 1733342046)
0.00040 SELECT * FROM punbb_online WHERE logged<1733341746
0.00065 DELETE FROM punbb_online WHERE ident='18.118.28.132'
0.00078 DELETE FROM punbb_online WHERE ident='18.219.0.67'
0.00065 DELETE FROM punbb_online WHERE ident='18.224.31.248'
0.00064 DELETE FROM punbb_online WHERE ident='185.191.171.13'
0.00069 DELETE FROM punbb_online WHERE ident='3.135.206.229'
0.00069 DELETE FROM punbb_online WHERE ident='3.147.86.143'
0.00470 DELETE FROM punbb_online WHERE ident='85.208.96.197'
0.00057 SELECT topic_id FROM punbb_posts WHERE id=317275
0.00021 SELECT id FROM punbb_posts WHERE topic_id=30253 ORDER BY posted
0.00042 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30253 AND t.moved_to IS NULL
0.00026 SELECT search_for, replace_with FROM punbb_censoring
0.00124 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30253 ORDER BY p.id LIMIT 0,25
0.00067 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30253
Total query time: 0.01467 s