Forum Debian Users Gang

Blackhole · 2018-06-11 16:36:26

Hej.
Nie mogę sobie poradzić z tym problemem. W sieci radzą, by połączenie do VNC zrobić przez tunel, ale to nic nie daje, bo - jeśli dobrze rozumiem - to tylko moja komunikacja z VNC będzie szyfrowana, a inne próby łączenia się nie zostaną ukrócone.
Zrobiłem sobie sprawdzanie w CRON, z jakich IP są błędne próby logowania na mój VPS. Jak pojawią się z danego IP min. 3 błędne próby, to automatycznie dodaję wpis do [b]/etc/hosts.deny[/b]. To też jednak nie pomogło.
Nie wiem też, na jakiego użytkownika są połączenia, które w konsekwencji powodują błąd [i]"Too many authentication failures"[/i] i konieczność zabicia vncserver-a. vncserver uruchamiam z użytkownika [b]fx[/b], lecz akurat na niego nie zauważam prób logowania.

Proszę o pomoc.

urbinek · 2018-06-11 17:46:29

Chcesz zabezpieczyć cała maszynę czy tylko vnc?

Jak vnc to tunel ci wystarczy, jak cała maszynę to może hostdeny albo fail2ban?

Dobrze też używać niestandardowych portów

Jacekalex · 2018-06-11 17:47:56

Plik /etc/hosts.deny to prehistoria starsza niż Ipchains, w czasach Iptables i NFtables do takich rzeczy używa się Ipseta albo Hashlimit.

Rzuć okiem na to:
https://forum.dug.net.pl/viewtopic.php?pid=269264

Blackhole · 2018-06-12 14:16:13

Hmm... dużo więc mam do poczytania.
A wiadomo może, jak sprawdzić, na którego użytkownika są te logowania, które blokują mi dostęp? Skoro vncserver uruchamiam z użytkownika fx, a na tego użytkownika nie ma błędnych logowań, to chyba na jakimś innym "działa" vnc. Jak go znaleźć?

(Wczoraj po południu uruchomiłem vncserver od nowa, bo znów był ten błąd. Przed chwilą, przy próbie uruchomienia vncviewer znów on wystąpił. Masakra jakaś!)

urbinek · 2018-06-12 14:32:51

Sprawdź logi vnc. Ale obstawiam, ze to losowe dane

Blackhole · 2018-06-23 14:36:01

Sprawdziłem logi VNC i okazuje się, że próbują łączyć się tylko z 3 adresów IP:
[tt]129.232.147.210
163.172.198.143
50.225.42.82[/tt]
Mam je już w /etc/hosts.deny, ale nic to nie pomogło :/

urbinek · 2018-06-23 19:28:50

[quote=Jacekalex]Plik /etc/hosts.deny to prehistoria starsza niż Ipchains, w czasach Iptables i NFtables do takich rzeczy używa się Ipseta albo Hashlimit.

Rzuć okiem na to:
https://forum.dug.net.pl/viewtopic.php?pid=269264[/quote]

Blackhole · 2018-06-28 17:51:51

Po zrobieniu w [b]iptables[/b] reguły DROP dla tych 3 adresów, pomogło :)

Blackhole · 2018-08-25 12:06:50

Hej!
Ktoś jest w stanie wyjaśnić, dlaczego "iptables -L -n" uruchamiane z crona (root) zwraca inny wynik, niż uruchamiane nie z crona (też root)?

Mam skrypt:

Kod:

#!/bin/bash
# blokowanie IP, które chcą się włamać na VNC
logfile="/home/fx/.vnc/doscniewoli:1.log"
if [ "$1" == "deny" ]; then
   for scam in `cat $logfile | grep -i "authentication failed from" | awk '{ print $7 }' | sort | uniq -c | awk '$1 >= 1 { print $1"_"$2 }'`; do
      echo "scam=${scam}"        >> /root/bin/failedVNClogins_denied_cron.log
      scams=($(echo ${scam/_/ }))
      is_blocked=$(iptables -L -n | grep "DROP" | grep "${scams[1]}" | wc -l)
      if [ "$2" != "cron" ]; then
         echo -e "\n\nscam='$scam',  scams[*]=(${scams[*]})"
         iptables -L -n | grep "DROP" | grep "${scams[1]}";>echo "--is_blocked=$is_blocked"
      else
         iptables -L -n | grep "DROP" | grep "${scams[1]}" >> /root/bin/failedVNClogins_denied_cron.log
         echo "${scams[1]}  is_blocked=$is_blocked"        >> /root/bin/failedVNClogins_denied_cron.log
      fi
      if [ $is_blocked -eq 0 ]; then
         iptables -A INPUT -s ${scams[1]} -j DROP
         iptables-save
         echo $(date "+%Y-%m-%d %H:%M")"  denied access for  ${scams[1]}" >> /root/bin/failedVNClogins_denied.log
         if [ "$2" != "cron" ]; then
            echo "-> blocking ${scams[1]}"
            echo $(date "+%Y-%m-%d %H:%M")"  denied access for  ${scams[1]}"
         fi
      fi
   done
else
<->cat $logfile | grep -i "authentication failed from" | awk '{ print $7 }' | sort | uniq -c | awk '$1 >= 1'
fi

Gdy uruchamia się on z crona z prametrami "deny cron" to do pliku /root/bin/failedVNClogins_denied_cron.log wpisuje:

scam=11_100.2.41.106
100.2.41.106 is_blocked=0
scam=1_154.85.99.96
154.85.99.96 is_blocked=0
scam=10_211.144.146.13
211.144.146.13 is_blocked=0
scam=16_85.93.20.126
85.93.20.126 is_blocked=0[/quote]
Gdy jednak uruchomię go sam z tymi samymi parametrami, to do pliku wpisuje:
scam=11_100.2.41.106
DROP all — 100.2.41.106 0.0.0.0/0
100.2.41.106 is_blocked=1
scam=1_154.85.99.96
DROP all — 154.85.99.96 0.0.0.0/0
154.85.99.96 is_blocked=1
scam=10_211.144.146.13
DROP all — 211.144.146.13 0.0.0.0/0
211.144.146.13 is_blocked=1
scam=16_85.93.20.126
DROP all — 85.93.20.126 0.0.0.0/0
85.93.20.126 is_blocked=1[/quote]
Dlaczego tak się dzieje?

Ostatnio edytowany przez Blackhole (2018-08-25 12:11:14)

Ściskam prawicę, Jacek

[url]http://doscniewoli.pl[/url] — [b]Poznaj prawdę o pieniądzach[/b]
[url]http://www.youtube.com/watch?v=BlhFK2Gc1Nw[/url] — cz. I

Offline

Time (s)	Query
0.00012	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00122	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.219.63.90' WHERE u.id=1
0.00080	UPDATE punbb_online SET logged=1713578624 WHERE ident='18.219.63.90'
0.00069	SELECT * FROM punbb_online WHERE logged<1713578324
0.00101	DELETE FROM punbb_online WHERE ident='66.249.64.228'
0.00107	DELETE FROM punbb_online WHERE ident='66.249.64.229'
0.00086	SELECT topic_id FROM punbb_posts WHERE id=320781
0.00223	SELECT id FROM punbb_posts WHERE topic_id=30490 ORDER BY posted
0.00077	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30490 AND t.moved_to IS NULL
0.00007	SELECT search_for, replace_with FROM punbb_censoring
0.00097	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30490 ORDER BY p.id LIMIT 0,25
0.00094	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30490
Total query time: 0.01079 s

Forum Debian Users Gang

Ogłoszenie

#1 2018-06-11 16:36:26

Blackhole - Użytkownik

vncviewer - Too many authentication failures

#2 2018-06-11 17:46:29

urbinek - Użytkownik

Re: vncviewer - Too many authentication failures

#3 2018-06-11 17:47:56

Jacekalex - Podobno człowiek...;)

Re: vncviewer - Too many authentication failures

#4 2018-06-12 14:16:13

Blackhole - Użytkownik

Re: vncviewer - Too many authentication failures

#5 2018-06-12 14:32:51

urbinek - Użytkownik

Re: vncviewer - Too many authentication failures

#6 2018-06-23 14:36:01

Blackhole - Użytkownik

Re: vncviewer - Too many authentication failures

#7 2018-06-23 19:28:50

urbinek - Użytkownik

Re: vncviewer - Too many authentication failures

#8 2018-06-28 17:51:51

Blackhole - Użytkownik

Re: vncviewer - Too many authentication failures

#9 2018-08-25 12:06:50

Blackhole - Użytkownik

Re: vncviewer - Too many authentication failures

Kod:

#10 2018-08-25 12:57:33

Jacekalex - Podobno człowiek...;)

Re: vncviewer - Too many authentication failures

Kod:

Stopka forum

Informacje debugowania