ReSQL.ru
     
powered by simpleCommunicator - 2.0.59     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Пытаются взломать сервер?
6 сообщений из 6, страница 1 из 1
Пытаются взломать сервер?
    #38886316
pentaho
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
pentaho
Участник
Есть домашний сервер со статичным IP адресом. Недавно выдал логины нескольким друзьями и решил проверить заходили ли они на сервер. Открыл файл /var/log/auth.log:


Feb 23 03:11:09 Server sshd[10050]: Failed password for root from 115.239.228.9 port 45596 ssh2
Feb 23 03:11:14 Server sshd[10050]: message repeated 2 times: [ Failed password for root from 115.239.228.9 port 45596 ssh2]
Feb 23 03:11:14 Server sshd[10050]: Received disconnect from 115.239.228.9: 11: [preauth]
Feb 23 03:11:14 Server sshd[10050]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:16 Server sshd[10052]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:18 Server sshd[10052]: Failed password for root from 115.239.228.9 port 46342 ssh2
Feb 23 03:11:22 Server sshd[10052]: message repeated 2 times: [ Failed password for root from 115.239.228.9 port 46342 ssh2]
Feb 23 03:11:22 Server sshd[10052]: Received disconnect from 115.239.228.9: 11: [preauth]
Feb 23 03:11:22 Server sshd[10052]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:24 Server sshd[10055]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:26 Server sshd[10055]: Failed password for root from 115.239.228.9 port 45029 ssh2
Feb 23 03:11:31 Server sshd[10055]: message repeated 2 times: [ Failed password for root from 115.239.228.9 port 45029 ssh2]
Feb 23 03:11:31 Server sshd[10055]: Received disconnect from 115.239.228.9: 11: [preauth]
Feb 23 03:11:31 Server sshd[10055]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:32 Server sshd[10057]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:34 Server sshd[10057]: Failed password for root from 115.239.228.9 port 44010 ssh2
Feb 23 03:11:39 Server sshd[10057]: message repeated 2 times: [ Failed password for root from 115.239.228.9 port 44010 ssh2]
Feb 23 03:11:39 Server sshd[10057]: Received disconnect from 115.239.228.9: 11: [preauth]
Feb 23 03:11:39 Server sshd[10057]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:41 Server sshd[10059]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:43 Server sshd[10059]: Failed password for root from 115.239.228.9 port 42148 ssh2
Feb 23 03:11:47 Server sshd[10059]: message repeated 2 times: [ Failed password for root from 115.239.228.9 port 42148 ssh2]
Feb 23 03:11:47 Server sshd[10059]: Received disconnect from 115.239.228.9: 11: [preauth]
Feb 23 03:11:47 Server sshd[10059]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:49 Server sshd[10061]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root
Feb 23 03:11:51 Server sshd[10061]: Failed password for root from 115.239.228.9 port 39286 ssh2
Feb 23 03:11:56 Server sshd[10061]: message repeated 2 times: [ Failed password for root from 115.239.228.9 port 39286 ssh2]
Feb 23 03:11:56 Server sshd[10061]: Received disconnect from 115.239.228.9: 11: [preauth]
Feb 23 03:11:56 Server sshd[10061]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=115.239.228.9 user=root

Похоже, кто-то пытается подключиться каждые 10 секунд. Перебирает пароли? Пароль длинный и надежный, но стоит ли мне беспокоиться? Добавить IP адрес в чёрный лист? Что еще можно сделать?
...
Рейтинг: 0 / 0
23.02.2015, 11:24
| Ответить | Цитировать | Написать  
Пытаются взломать сервер?
    #38886323
miwaonline
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miwaonline
Участник
pentaho,

Ботов которые долбятся всюду подряд в интернете - пруд пруди.

Я би рекомендовал запретить парольный вход руту по ssh, поставить fail2ban и больше этим не париться.
...
Рейтинг: 0 / 0
23.02.2015, 11:36
| Ответить | Цитировать | Написать  
Пытаются взломать сервер?
    #38886325
irbis_al
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
irbis_al
Участник
pentaho,
так это любой сервер боты ломают.
Каждый сервак в инете подвергается этой хрени.
Какой нибудь юот начнёт ломиься к тебе...потом отвалится...потом другой бот подойдёт.
Надо "затенить" 22 порт. например на 523
и заходи к себе ssh host -p 523
...
Рейтинг: 0 / 0
23.02.2015, 11:38
| Ответить | Цитировать | Написать  
Пытаются взломать сервер?
    #38887021
Ivan_Pisarevsky
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Ivan_Pisarevsky
Участник
pentahoПохоже, кто-то пытается подключиться каждые 10 секунд.У всех так.
pentahoстоит ли мне беспокоиться?PermitRootLogin выставь в No, если вдруг оно там невыставлено.
irbis_alНадо "затенить" 22 порт. например на 523странно, под "затенить" я обычно понимал портнокер, а тут просто смена порта на нестандартный. портнокер тоже можно применить, на это для параноиков. Для законченных параноиков можно запретить наружу ssh, открыть только порт vpn, к ssh подключаться только после поднятия vpn.

Надо понимать что смена номера порта это просто уменьшение паразитного трафика, но никак не защита.

miwaonlineпоставить fail2ban и больше этим не париться.и это можно. Можно просто правила iptables подкрутить с требуемым эффектом.
pentahoДобавить IP адрес в чёрный лист?Руками делать это совершенно быссмысленно. К тому же адреса частенько динамические, забанишь адрес, а потом он попадется легитимному юзеру а попасть он уже не сможет. Если уж банить то на некий период и точно не руками.
...
Рейтинг: 0 / 0
24.02.2015, 12:18
| Ответить | Цитировать | Написать  
Пытаются взломать сервер?
    #38887097
irbis_al
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
irbis_al
Участник
>>Надо понимать что смена номера порта это просто уменьшение паразитного трафика, но никак не защита.

Это всё таки защита ,ибо спрятанная дверь. круче суперзамка.
У меня после смены порта на ssh вообще никто не "ломится в дверь".
...
Рейтинг: 0 / 0
24.02.2015, 13:02
| Ответить | Цитировать | Написать  
Пытаются взломать сервер?
    #38887371
Ivan_Pisarevsky
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Ivan_Pisarevsky
Участник
irbis_alЭто всё таки защита ,ибо спрятанная дверь. круче суперзамка.Это просто эффект "Неуловимого Джо". Иллюзия защищенности коварная штука.
...
Рейтинг: 0 / 0
24.02.2015, 15:30
| Ответить | Цитировать | Написать  
6 сообщений из 6, страница 1 из 1
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Пытаются взломать сервер?
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru       Новости, Чат       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=25&gotonew=1&tid=1482174]:
 0ms
get settings:
 10ms
get forum list:
 13ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 166ms
get topic data:
 10ms
get first new msg:
 7ms
get forum data:
 2ms
get page messages:
 39ms
get tp. blocked users:
 1ms
others: 234ms
total:  490ms
созд. / загр.: 490ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]