Když jsem kontroloval stav našeho domácího routeru, tak jsem narazil na podezřelou aktivitu z ip adresy 209.126.131.150..
Na první pohled bylo zřejmé že se jedná o hackerský útok:
Po detailnějším prozkoumání logů došel k přesvědčení, že hacker buď neuspěl nebo po sobě už stihl uklidit.
Pro jistotu jsem danou ip adresu zabanoval.
Teď ještě přemýšlím jestli má smysl dohledávat admina dané ip adresy a zkoušet mu psát email…
[poll=9]
http://cqcounter.com/whois/
tak to je hack jak prase … vskutku :)
Nechapu proc na portu 22 nemas firewall?
Normálka, já mám na 22 logování (samozřejmě pak drop ;-)) a tohle taky vídávám.
Normálka slovníkovej útok na ssh, takovejch je… Kdo tam má funkční ssh, počte si v logu, co všechno to zkouší. Ono je jich tolik z různých adres, že už se to skoro nevyplatí ani banovat, natož někam psát.
Je to skutecne v poradku? Mam se na to opravdu vykaslat? Bylo by v stale v poradku kdyby se utok podaril?
Jsou to deti, ktere si jenom hraji, nebo je to nekdo snazici se najit vhodne misto pro zacatek utoku na servery pentagonu, banky (nebo cehokoliv) ?
(Jsou to recnicke otazky)
Zvážil bych nasazení <a href="http://www.root.cz/clanky/nova-softwarova-sklizen-17-1-2007/#shield">pam_shield</a> nebo podobné techniky.
takových pokusů je na každém ssh na otevřeném netu několik (i desítek) denně :-| bát se má smysl jen v případě nastavených jednoduchých hesel na účty jako root, test, apache.. :-)
pomůže zákaz root loginu přes ssh úplně (volba v sshd_config) a na ostatní účty příp. zakázat přihlašování s heslem – přihlásit se pak dá jen se ssh klíčem :)
Doporucuju fail2ban, snadna instalace, jednoznacny prinos pro tyhle utoky (brute force odhadovani hesla) funguje tak ze po nastavenem poctu neuspesnych zadani hesla ssh prida na nastavenou dobu (typicky 10 min) pravidlo do iptables s banem dane adresy, umi kontrolovat i pristupy pres hesla u apache a jinych sluzeb, omezi tyto utoky skutecne na minimum.
Jednoduchý a překvapivě efektivní (i kdy samozřejmě ne dokonalý) je provozovat SSH na jiném portu.
K poznámce č.10 od Ládi, bych podotkl, že to asi nebude moc efektivní. Jinak je pravda že otevřený SSH port vede k útokům, nejlepší je nastavit dlouhý time pro negativní odpověď, například 10 sec dovede opravdu otrávit většinu "taky hackerů". fail2ban je šikovná věc. Ve spolupráci s "pomalým" ssh je to další věc, jak otrávit lámání hesel.
Nu potom co mi nekdo vlez do serveru presne timto zpusobem jsem rozchodil vpn a pomoci ssh se prihlasim jenom v ramci site , samo kdyz padne demon je to prusvih a cesta do housu ,ale zatim klep klep se to nestalo .Musim rict ze je to zatim asi nejbezpecnejsi varianta pristupu hned po vypnutym ssh :).
Nastavit port napriklad na 22222 a nastavit opetovny login aspon na 2 sekundy je podla mna dost ucinne riesenie. Iked samozrejme vpn + overenie klienta na zaklade kluca je istejsie.
neviem ci aj tato metoda je dostatocna. skusenejsi to nmapom zistia rychlo co sa tyka portov. a ty vytrvalejsi to heknu aj tak. clovek by musel vyuzivat vsetky dostupne nastroje na sledovanie, ako iptraf, nmap, snorf, tripewire a neustale si nehat posielat zasifrovane logy.
denyhosts http://www.denyhosts.net je dobra utilitka na logovani a predchazeni takovymto utokum..
ssh na jinym portu vede k prakticky nulovym brute force atakum. Dokud jsem jej mel na 22, nebylo dne, abych v logu nenasel dlouhe seznamy. Od zmeny je naprosty klid (no, mozna ze je to hackly :) ). Nmap defaultne neskenuje vsechny porty, takze pri standartnim spusteni novy ssh port nenajde. No – a pokud hacker ma opravdu zajem, najde port a vidi, ze si uzivatel prehodil ssh jinam, vytusi, ze slovnikovy utok tady asi nebude moc k uzitku, pac si admin da nejspis i pozor, komu ssh dovoli. Pak staci byt in (hlidat updates), mit nejakej filtr na ssh portu (snort ci psad) a firewall na vsech ostatnich portech. A samozrejme selinux (defaultni fedora) a treba exec-shield (taky stand. fedora). Pak i v pripade prolomeni demona ma utocnik dost velky problem neco rozumneho udelat. Jedinou relevantni hrozbou pak je odchyceni hesla utocnikem (znama men-in-the-midle hlaska pri logovani). Jestli nekdo nesouhlasite, tak reknete proc…
ad 11)
Která config volba nastavuje "dlouhý time pro negativní odpověď"?
Poslední dobou už v .cz doméně zkouší typicky české loginy (blanka, jirka apod.) a zřejmě mají i český slovník hesel, takže nepodceňovat, úspěšnost může být vysoká.
Pokud se jim podaří nějaký účet na serveru prolomit, dá se čekat jedna ze dvou možností:
1) útočník spustí pod tím účtem stejný program co bude útočit na další stroje
2) útočník někomu server "prodá", tj. neudělá nic, ale za nějakou dobu se na ten účet přihlásí jiný a nainstaluje něco výdělečného – třeba rozesílání spamu nebo www stránky pro phishing
Obrana – jedině kvalitní hesla (stačí ne triviální).
Obrany typu zablokování IP adresy po několika neúspěšných pokusech pomůžou, ale podle mého názoru jsou dobré hlavně proti tomu, aby hádání hesel nezablokovalo ssh přístup na server (max. počet ssh procesů).
[11] SSH na jiném portu zmate stupidní roboty, kteří jenom dělají slovníkové útoky. Rozhodně jsem to nebral jako obranu, spíš způsob jak se zbavit tuny hlášek v logu a usnadnit si jejich analýzu. Obrana je v tomhle případě silné heslo, případně přihlašovací klíče, nastavování dlouhé doby na opětovný login může být jako bonus.
Hmm tak to máš první prémiérovou IP :). Já už jich nasbíral 140. Teda všechny sou zabanované. Od původních autorů (SK) jsem si půjčil způsob 3x a dost a trochu ho poupravil. A je klid….
Neni v okoli nejaky forum, kde se vlastni zkusenostiu diskutujou? Tahle diskuse zajde na ubyte s objevenim se dalsiho clanku. Nejaky forum, ktery sleduje 5-10 lidi se stejnymi problemy/zajmy by dost usnadnilo nektery veci. – – – Mam ruzny napady – jako udelat si fake sshd a precist si tak seznam zkompromitovanych hesel (kdyz by tam clovek nasel nejaky svoje – to by byla rana), zajimaly by me zkusenosti ostatnich s portscanem (me nikdo porty neskenuje – krome me sameho – a prijde mi to podivny). Dobry je treba zkusit si na svoje hesla pustit JtR.. Tak co to SECURITY-FORUM?
najlepsia ochrana je mat heslo… nje login miska heslo miska…
ale napriklad login:misk@321 heslo:ULTR@mega5…. alebo ak potrebujeme velmi zzabezpecit system tak pouzit cislo ako login… viem ze sa v niektrorych instituciach pouziva y cislo…. teda login:y4902132 heslo:4TajnE%hesl0…
Vsetci mi hovoria, ze meno kocura sa ako heslo pre roota nehodi.Ale ked ja som si tak privykol na mojho qzb!7kw_2et !
On tu jeste nekdou pousti ssh na standardnim portu 22? :-)) Vzhledem k tomu, ze 99.9% techto utoku je prachsprosty pokus o slovnikove utoky za pomoci nejakych botnetu, tak imho nejlepsi reseni je proste povesit ssh na nejaky nestandardni port – od doby, co mi posloucha na jinem portu jsem nezazil jediny takovy pokus :-).
Nebojim se, ze by nejaky z tech pokusu vysel, pouzivam celkem silna hesla a mam zakazane prihlasovani roota pres ssh, ale uz me docela pilo krev kdyz jsem videl jak CPU treba 4 hodiny v kuse vytizene na 100% jen navazovanim a ssh spojeni. Ona ta rezie neni uplne zanedbatelna, kdyz se navazuje hromada spojeni za vterinu… A taky me nebavilo sledovat jak narustaji logy :-)).
kratke heslo jako ULTR je sice velkym pismenem, ale stejne – prilis kratke. Pro paranoiky je nejlepsi kombinace velkych+malych+cislic a navic nejaky ten _;.,"$# znak. Vsimnete si, jaka hesla jsou pouzivana v tech slovnikovych utocich -pravdepodobne pouze takova, co sla zlomit silou. Jo a dat ssh jinam nez na 22 ma i jinej bezpecnostni moment – vzdycky jeste muze existovat nejaky neznamy exploit…
Take me trapily tuny logu o pokusech o pristup na port 22 z celeho sveta. parkrat jsem se dotazal DNS odkud to je: vetsinou skoly ve vychodni Asii, takze jde asi o script-kiddies. Myslim ze nejrozumnejsi ochrana je neposkytnout skriptum navnadu: vratil jsem se zpet k protokolu SSH 1, protokol 2 jsem vypnul a razem je klid. V sshd_config vzdy samozrejme vypinam i PermitRootLogin a PasswordAuthentication – pouzivam prihlasovaci klice.
welcome to the real world joe…
Co takhle to checkovat pres zmineny pam nebo taktez zmineny denyhosts nebo si napsat vlastni parser logu a zahazovat to v netfiltru nebo pouzit tzv. tuk-tuk technologii taktez pres netfiltr (napr. takto: http://aplawrence.com/Security/sshloginattack.html)?
(Je blogovani neco uchvatneho, co muj mozek nebere nebo tohle je jen pokus, jak napsat dotaz formou "zabavneho" pribehu? Je nas domaci spravce routeru ve stavu byt toho schopen, nebo jeho aktivita je znacne podezrela? Bylo by stale v poradku kdyby si utocnik ma mem stroji zalozil blog? Co kdyz je to detsky banker z Pentagonu?)
(Jsou to recnicke otazky)
kazdopadne ad [11] … ten timeout by me taky zajimal. Nepletes si to s LoginGraceTime?