ssh брутфорс

[InS7]

обнаружил в логах:

Спойлер

Sep 27 23:01:44 3k304-02 sshd[8720]: Invalid user mysql from 206.253.146.5
Sep 27 23:01:44 3k304-02 sshd[8720]: pam_unix(sshd:auth): check pass; user unknown
Sep 27 23:01:44 3k304-02 sshd[8720]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=amickdsw.amickfarms.com
Sep 27 23:01:46 3k304-02 sshd[8720]: Failed password for invalid user mysql from 206.253.146.5 port 60848 ssh2
Sep 27 23:01:47 3k304-02 sshd[8722]: Invalid user mysql from 206.253.146.5
Sep 27 23:01:47 3k304-02 sshd[8722]: pam_unix(sshd:auth): check pass; user unknown
Sep 27 23:01:47 3k304-02 sshd[8722]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=amickdsw.amickfarms.com
Sep 27 23:01:49 3k304-02 sshd[8722]: Failed password for invalid user mysql from 206.253.146.5 port 60988 ssh2
-------
Sep 23 07:14:13 3k304-02 sshd[25650]: Failed password for root from 89.97.55.57 port 58641 ssh2
Sep 23 07:14:13 3k304-02 sshd[25652]: Invalid user murray from 89.97.55.57
Sep 23 07:14:13 3k304-02 sshd[25652]: pam_unix(sshd:auth): check pass; user unknown
Sep 23 07:14:13 3k304-02 sshd[25652]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89-97-55-57.ip16.fastwebnet.it
Sep 23 07:14:15 3k304-02 sshd[25652]: Failed password for invalid user murray from 89.97.55.57 port 58712 ssh2
Sep 23 07:14:16 3k304-02 sshd[25654]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=89-97-55-57.ip16.fastwebnet.it + user=root

Посоветуйте какие адекватные меры можно предпринять
банить руками всех (iptables) по ип замучаешься.....

[rmn]

InS7, в правильно вопросе есть половина ответа. Банить руками незачем, есть утилиты, которые автоматом банят через тот же iptables хосты и даже целые подсети.
например, см., fail2ban
http://opensource.com.ua/forum/showthread.php?t=235

и до кучи на выбор еще несколько решений
http://en.wikipedia.org/wiki/Categor...cking_software

[InS7]

мм, fail2ban понравился

еще нашел в логах апача вот что:

Спойлер

- - - [29/Sep/2008:20:21:07 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 186 "-" "Morfeus Fucking Scanner"
- - - [29/Sep/2008:20:21:11 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 186 "-" "Morfeus Fucking Scanner"

как написано тут

Цитата: scanner that looks for vulnerabilities in PHP based web sites (as this one is)

сделал .htaccess
а теперь вопрос, куда в access логе делись ip кто обращался?

Добавлено через 6 минут
кто то на webdav ломился, хотя у меня модуля даже нет mod_dav

Спойлер

- - - [28/Sep/2008:13:20:26 +0400] "OPTIONS / HTTP/1.1" 200 - "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
- - - [28/Sep/2008:13:20:26 +0400] "PROPFIND /SysVol HTTP/1.1" 405 232 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
- - - [28/Sep/2008:15:28:56 +0400] " " 501 212 "-" "-"
- - - [28/Sep/2008:15:44:00 +0400] "GET /user/soapCaller.bs HTTP/1.1" 404 186 "-" "Morfeus Fucking Scanner"

а ипов все равно нет

[rmn]

InS7, это уже не брутфорс и офтопик.
лог попортился после того, как добавил директив апачу?
посмотри лог ошибок апача.

[InS7]

Цитата: и офтопик

не хотел просто плодить топиков на пару предложений

Цитата: лог попортился после того, как добавил директив апачу?

нет так был

в логе ошибок ничего нет

Спойлер

3k304-02:~# cat /var/log/apache2/error.log
[Sun Sep 28 06:25:02 2008] [notice] Apache/2.2.* (Debian) PHP/5.2.6-3 with Suhosin-Patch configured -- resuming normal operations
[Sun Sep 28 15:28:56 2008] [error] [client 70.38.11.119] Invalid method in request
[Sun Sep 28 15:44:00 2008] [error] [client 74.208.44.185] File does not exist: /httpdocs/user
[Mon Sep 29 13:46:02 2008] [error] [client 172.20.*.*] user ins7: authentication failure for "/dir": Password Mismatch
[Mon Sep 29 13:46:09 2008] [error] [client 172.20.*.*] File does not exist: /httpdocs/squid-reports, referer: http://172.20.*.*/dir/
[Mon Sep 29 13:46:09 2008] [error] [client 172.20.*.*] File does not exist: /httpdocs/favicon.ico
[Mon Sep 29 13:46:13 2008] [error] [client 172.20.*.*] File does not exist:/httpdocs/favicon.ico
[Mon Sep 29 19:25:18 2008] [error] [client 62.80.172.199] File does not exist: /httpdocs/squid.grep.conf, referer: http://www.linux.org.ru/view-message.jsp?msgid=3078939
[Mon Sep 29 19:25:18 2008] [error] [client 62.80.172.199] File does not exist: /httpdocs/favicon.ico
[Mon Sep 29 19:25:21 2008] [error] [client 62.80.172.199] File does not exist: /httpdocs/favicon.ico
[Mon Sep 29 20:21:07 2008] [error] [client 190.196.9.138] File does not exist: /httpdocs/user
[Mon Sep 29 20:21:11 2008] [error] [client 190.196.9.138] File does not exist: /httpdocs/user

в sites-enabled/
CustomLog /var/log/apache2/access.log combined

[rmn]

всегда так было?
Проверь директиву LogFormat
grep -ri LogFormat /etc/apache2/conf/ , ну или где конфиги апача лежат.

[InS7]

Код:

3k304-02:~# grep -ri LogFormat /etc/apache2/apache2.conf 
LogFormat "%{X-Real-IP}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

не понимаю в чем дело

[rmn]

InS7, %{X-Real-IP}i осознанно вписано? По умолчанию там ведь %h

[InS7]

Сообщение от rmn InS7, %{X-Real-IP}i осознанно вписано? По умолчанию там ведь %h

нет, было, вообщем разобрался, всё, спасиб rmn

[tmp0000]

Цитата: злые хацкиры ломятся с мира

Это скорее инфицированные машины под управлением сами-знаете-чего

[rmn]

причем преимущественно китайцы
в принципе, можно забанить всю Азию - жить станет легче.
Один благородный японец регулярно обновляет список вражьих сетей. Пользуйтесь.
http://www.hakusan.tsg.ne.jp/tjkawa/...er/index-e.jsp

[InS7]

точно китайцы, посмотрел один из забаненых ip

Спойлер

2:~# whois 218.22.27.132
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.22.0.0 - 218.23.255.255
netname: CHINANET-AH
country: CN
descr: CHINANET Anhui province network
descr: Data Communication Division
descr: China Telecom
admin-c: CH93-AP
tech-c: AT318-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-AH
changed: hm-changed@apnic.net 20060322
source: APNIC

зы. японец нереально крут, собрал 2251 подсетей

Добавлено через 13 минут
зыы.в принципе я согласен что всю азию нужно забанить, в ближайщее время из Китая админить не собираюсь, та что...

Добавлено через 34 минуты
хотел спросить у rmn
возможен ли такой вариант:

Код:

iptables -N ASIA //создадим цепочку ASIA
iptables -A ASIA  -j RETURN // что не подошло вернем в основные "INPUT"
iptables -I INPUT 1 -d [мой мировой ip]   -p tcp -m state --state NEW -j ASIA //все новые входящие tcp проверим на вшивость

iptables -I ASIA  -s 58.2.0.0/16 -j DROP
//и так далее

у него слишком уж мудрённо

[rmn]

InS7, сначала должны в цепочке идти все дропы, а затем RETURN.

[InS7]

так я же параметр I использую, все дропы вверх

Добавлено через 34 секунды
всеж правильно
iptables -I ASIA -s 58.2.0.0/16 -j DROP

[rmn]

InS7, если тебе не влом переделывать готовые команды, флаг в руки, барабан на шею. Я лишь написал про минимальные правки того, что предложил японец.

[InS7]

переделывание заняло 10 секунд, все таки не ручками же....какой то оффтоп

[rmn]

InS7, это лишний гемор. Списки эти нужно обновлять, проще ведь стянуть их wget и без переделки скормить готовому скрипту японца, заменив одну строчку. А тебе еще пришлось че-то своё писать. С таким же успехом можно было пойти по стопам японца и написать парсер APNIC баз.

[InS7]

дык а если у меня уже были правила в инпуте, то по его схеме если они не с тех сетей, то пройдут дальше, даже не проходя правила инпут вниз

Код:

3k304-02:~# iptables -L KRFILTER -nv --line-number
2251     0     0 KRFILTERED  all  --  *      *       222.248.0.0/14       0.0.0.0/0           
2252     0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

вот как видно 2252 правило пропускает все пакеты на все порты, то есть если не с тех сетей, то можно ломиться куда хочешь, в обход правил INPUT
Я думаю надо заменить на return, чтобы оно вернулось в INPUT?

Добавлено через 5 минут
если заменить

Код:

iptables -A KRFILTER -j ACCEPT

на

Код:

iptables -A KRFILTER -j RETURN

а

Код:

iptables -A INPUT -p tcp -m state --state NEW -j KRFILTER

на

Код:

iptables -I INPUT -p tcp -m state --state NEW -j KRFILTER

тогда можно

Цитата: стянуть их wget и без переделки...

[rmn]

InS7, о чем и речь! там, вообще говоря, косяк. Или наоборот, типа сам дурак, если выполнил все команды, не понимая, что они делают.

Добавлено через 1 минуту

Сообщение от InS7 дык а если у меня уже были правила в инпуте, то по его схеме если они не с тех сетей, то пройдут дальше, даже не проходя правила инпут вниз Код: 3k304-02:~# iptables -L KRFILTER -nv --line-number 2251 0 0 KRFILTERED all -- * * 222.248.0.0/14 0.0.0.0/0 2252 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 вот как видно 2252 правило пропускает все пакеты на все порты, то есть если не с тех сетей, то можно ломиться куда хочешь, в обход правил INPUT Я думаю надо заменить на return, чтобы оно вернулось в INPUT?[I]

я про это. ACCEPT должен быть заменён на RETURN