Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2018-02-02 17:32:16
Blackhole - 
Użytkownik
Ktoś się mi chce włamać na VPS. Co zrobić?
Hej!
W pliku [tt]/var/log/auth.log[/tt] zauważyłem takie wpisy:
Jan 29 04:19:19 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:22 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Received disconnect from 58.218.198.150: 11: [preauth]
Jan 29 04:19:24 doscniewoli sshd[11733]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150 user=root
Jan 29 04:19:47 doscniewoli sshd[11736]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150 user=root
Jan 29 04:19:50 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:52 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:54 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:55 doscniewoli sshd[11736]: Received disconnect from 58.218.198.150: 11: [preauth]
Jan 29 04:19:55 doscniewoli sshd[11736]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150 user=root
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11744]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session closed for user root
Jan 29 04:20:02 doscniewoli CRON[11744]: pam_unix(cron:session): session closed for user smmsp
Jan 29 04:20:15 doscniewoli sshd[11776]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150 user=root
Jan 29 04:20:18 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:19 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:22 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
...
Feb 2 17:27:21 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb 2 17:27:24 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb 2 17:27:27 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
...[/quote]
Od 29 stycznia do dziś jest takich wpisów już ponad [b]30 tyś[/b]:Kod:
$ cat /var/log/auth.log | grep -i "failed password for root" | wc -l 30120Wygląda, jakby ktoś chciał mi zrobił włam na VPS.
[b]Jak mogę zablokować możliwość logowania z powyższych adresów IP?[/b]Ostatnio edytowany przez Blackhole (2018-02-02 18:36:00)
Ściskam prawicę, Jacek
[url]http://doscniewoli.pl[/url] — [b]Poznaj prawdę o pieniądzach[/b]
[url]http://www.youtube.com/watch?v=BlhFK2Gc1Nw[/url] — cz. I
Offline
#2 2018-02-02 19:38:44
urbinek - Użytkownik
#3 2018-02-02 19:39:08
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Ktoś się mi chce włamać na VPS. Co zrobić?
Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.
I skonfiguruj firewala by odrzucał błędne próby połączenia różnych botów.
Offline
#4 2018-02-02 20:23:13
Blackhole - Użytkownik
Re: Ktoś się mi chce włamać na VPS. Co zrobić?
[quote=yossarian]Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.[/quote]
Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).
Ostatnio edytowany przez Blackhole (2018-02-02 20:24:12)
Ściskam prawicę, Jacek
[url]http://doscniewoli.pl[/url] — [b]Poznaj prawdę o pieniądzach[/b]
[url]http://www.youtube.com/watch?v=BlhFK2Gc1Nw[/url] — cz. I
Offline
#5 2018-02-02 20:35:31
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: Ktoś się mi chce włamać na VPS. Co zrobić?
[quote=Blackhole]Hej!
W pliku [tt]/var/log/auth.log[/tt] zauważyłem takie wpisy:
Jan 29 04:19:19 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:22 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Failed password for root from 58.218.198.150 port 43867 ssh2
Jan 29 04:19:24 doscniewoli sshd[11733]: Received disconnect from 58.218.198.150: 11: [preauth]
Jan 29 04:19:24 doscniewoli sshd[11733]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150 user=root
Jan 29 04:19:47 doscniewoli sshd[11736]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150 user=root
Jan 29 04:19:50 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:52 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:54 doscniewoli sshd[11736]: Failed password for root from 58.218.198.150 port 11337 ssh2
Jan 29 04:19:55 doscniewoli sshd[11736]: Received disconnect from 58.218.198.150: 11: [preauth]
Jan 29 04:19:55 doscniewoli sshd[11736]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150 user=root
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11744]: pam_unix(cron:session): session opened for user smmsp by (uid=0)
Jan 29 04:20:01 doscniewoli CRON[11745]: pam_unix(cron:session): session closed for user root
Jan 29 04:20:02 doscniewoli CRON[11744]: pam_unix(cron:session): session closed for user smmsp
Jan 29 04:20:15 doscniewoli sshd[11776]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.218.198.150 user=root
Jan 29 04:20:18 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:19 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
Jan 29 04:20:22 doscniewoli sshd[11776]: Failed password for root from 58.218.198.150 port 10666 ssh2
...
Feb 2 17:27:21 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb 2 17:27:24 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
Feb 2 17:27:27 doscniewoli sshd[3264]: Failed password for root from 58.242.83.39 port 59913 ssh2
...[/quote]
Od 29 stycznia do dziś jest takich wpisów już ponad [b]30 tyś[/b]:Kod:
$ cat /var/log/auth.log | grep -i "failed password for root" | wc -l 30120Wygląda, jakby ktoś chciał mi zrobił włam na VPS.
[b]Jak mogę zablokować możliwość logowania z powyższych adresów IP?[/b][/quote]
Hmm:Kod:
iptables -N SSH iptables -A INPUT -p tcp -m tcp -m multiport --dports 11523,21843 -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-sadd$ iptables -A SSH -m hashlimit --hashlimit-upto 5/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name ssh -j ACCEPT ### iptables -A SSH -j LOG --log-prefix "SSH - zablokowany" iptables -A SSH -j RETURNZrób sobie SSH na jakichś dziwacznych portach, podobnie jak powyżej.
Zrób też logowanie po kluczach SSH, a hasła wyłącz całkowicie.
Najpierw wygeneruj skopiuj i sprawdź, czy dzialłają klucze, a potem:
przyłączanie zrobisz: tak,, w konfigu /etc/ssh/sshd_config ustawiasz:Kod:
PubkeyAuthentication yes PasswordAuthentication noN wszelki wypadek, jakbyś miał majstrować w konfigu sshd, zainstaluj sobie i wystaw na drugim porcie Dropbeara.
Dropbeara odpalisz takim poleceniem:Kod:
dropbear -F -R -E -s -a -p *:{PORT}Do majstrowania w konfigu sshd radziłbym się przez Dropbeara zalogować, żeby sobie błędem w konfigu nie uceglić VPSa.
Ja w ogóle na zdalnych serwerach zawsze trzymam dwa rożne demony sshd na rożnych portach.
PozdroOstatnio edytowany przez Jacekalex (2018-02-03 20:35:06)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#6 2018-02-03 14:53:08
morfik - Cenzor wirtualnego świata
Re: Ktoś się mi chce włamać na VPS. Co zrobić?
[quote=yossarian]Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.[/quote]
E tam, ja u siebie miałem logowanie do konta root cały czas, z tym, że via klucze SSH. No i usługa stała na innym porcie niż domyślny i w zasadzie nie notowałem żadnych prób logowania, oczywiście poza moimi własnymi. xD
[quote=Blackhole]Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).[/quote]
Ja na telefonie mam wgranego termux'a:
https://termux.com/
To taki otwartoźródłowy terminal, którego funkcjonalność jest zbliżona do tej znanej z debiana. Np. można doinstalować pakiety od openssh via apt. Później można sobie stworzyć klucze SSH i uzupełnić odpowiednio konfigurację w stosownym pliku i logować się na serwery via [b]ssha[/b] bez żadnych haseł, loginów — wystarczy podać adres, czyli tak jak to wygląda normalnie na kompie. xD
Tu masz więcej:
https://wiki.termux.com/wiki/FAQ
Ostatnio edytowany przez morfik (2018-02-03 14:55:20)
Offline
#7 2018-02-03 15:40:41
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Ktoś się mi chce włamać na VPS. Co zrobić?
[quote=morfik][quote=yossarian]Wyłącz możliwość logowania roota bo to Himalaje lamerstwa.[/quote]
E tam, ja u siebie miałem logowanie do konta root cały czas, z tym, że via klucze SSH.[/quote]
Miałem na myśli logowanie na konto roota poprzez hasło. Jeśli dobrze pamiętam to standardowo jest to i tak wyłączone w Debianie.
[quote=Blackhole]Ale wtedy nie będę mógł się ze smartfona zalogować; nie wiem, czy na androidzie można logować się przez ssh używając kluczy (np. w darmowej wersji JuiceSSH).[/quote]
Logowanie na konto zwykłego użytkownika (zamiast roota) nie ma nic wspólnego z kluczami SSH.
Po drugie, JuiceSSH obsługuje klucze. Kiedyś używałem na tablecie — służył jako awaryjny lub podręczny dostęp do serwera.
Offline
#8 2018-02-03 15:48:56
morfik - Cenzor wirtualnego świata
#9 2018-02-03 15:51:19
yossarian - Szczawiożerca
- yossarian
- Szczawiożerca
- Skąd: Shangri-La
- Zarejestrowany: 2011-04-25
Re: Ktoś się mi chce włamać na VPS. Co zrobić?
Wygląda ciekawie.
Może zaniecham tego haniebnego czynu ;)
Offline
#10 2018-02-07 18:50:38
hi - Użytkownik
- hi
- Użytkownik
- Zarejestrowany: 2016-03-24
Re: Ktoś się mi chce włamać na VPS. Co zrobić?
o drop listach Pan słyszał?
http://www.spamhaus.org/drop/
to norma, że boty kopią, internet to ciągłe pole bitwy :)
Ostatnio edytowany przez hi (2018-02-07 18:52:16)
"Jeśli wolność słowa w ogóle coś oznacza, to oznacza prawo do mówienia ludziom tego, czego nie chcą słyszeć."
Eric Arthur Blair
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00013 | SET CHARSET latin2 |
| 0.00010 | SET NAMES latin2 |
| 0.00072 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.225.31.159' WHERE u.id=1 |
| 0.00213 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.225.31.159', 1714681063) |
| 0.00170 | SELECT * FROM punbb_online WHERE logged<1714680763 |
| 0.00085 | DELETE FROM punbb_online WHERE ident='52.14.240.178' |
| 0.00107 | DELETE FROM punbb_online WHERE ident='85.208.96.202' |
| 0.00067 | SELECT topic_id FROM punbb_posts WHERE id=317393 |
| 0.00109 | SELECT id FROM punbb_posts WHERE topic_id=30253 ORDER BY posted |
| 0.00048 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30253 AND t.moved_to IS NULL |
| 0.00051 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00089 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30253 ORDER BY p.id LIMIT 0,25 |
| 0.00232 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30253 |
| Total query time: 0.01266 s | |