# Atak czy błąd? (sshd i inne)

## mcanswer

Dziś, gdy wróciłem do domu, zastałem czarny ekran. Komputer nie reagował na nic, Po restarcie uruchomił się lilo, ale zaraz potem na monitorze zobaczyłem kernel panic cośtam cośtam - nie można zamontować partycji root'a. Uruchomiłem komputer z livecd. Okazało się, że uszkodzone są superbloki na dwóch z czterech partycji tego dysku (boot, swap, !root, !home). Nie wiem, co powinienem był najlepiej zrobić w takiej sytuacji, ale uruchomiłem e2fsck -b <pierwsza kopia superbloku> po naprawieniu ogromnej ilości błędów

```

flaga odtworzenia ext3 wyzerowana, ale kronika zawiera dane.

Flaga odtworzenia nie ustawiona w zapasowym superbloku,

więc wykonuję zapisy z kroniki mimo to.

/dev/hda4: odtwarzanie z kroniki

Przebieg 1: Sprawdzanie i-węzłów, bloków i rozmiarów

I-węzeł 1310721 jest używany, ale ma ustawiony dtime. Poprawić? tak

I-węzeł 1310721, i_blocks wynosi 4096, powinno być 0. Poprawić? tak

I-węzeł 1312769 jest używany, ale ma ustawiony dtime. Poprawić? tak

I-węzeł 1312769, i_blocks wynosi 4096, powinno być 0. Poprawić? tak

(...)

I-węzeł 4145377, i_size wynosi 35663445625933824, powinno być 0. Poprawić? tak

(...)

Przebieg 2: Sprawdzanie struktury katalogów

I-węzeł 4145153 (/home) ma błędne uprawnienia (0130000).

Wyczyścić? tak

I-węzeł 1310721 (/tmp) jest niedopuszczalnym urządzeniem blokowym.

Wyczyścić? tak

Wpis '..' w ??? (1310755) ma usunięty/nie używany i-węzeł 1310723. Wyczyścić? tak

Wpis '..' w ??? (1310759) ma usunięty/nie używany i-węzeł 1310723. Wyczyścić? tak

(...)

Wpis 'Home.desktop' w ??? (4145246) ma usunięty/nie używany i-węzeł 4145404. Wyczyścić? tak

Wpis 'System.desktop' w ??? (4145246) ma usunięty/nie używany i-węzeł 4145405. Wyczyścić? tak

Wpis 'Regulamin_DMP2005-6.doc' w ??? (4145246) ma usunięty/nie używany i-węzeł 4146001. Wyczyścić? tak

Wpis 'e020n50.tgz' w ??? (4145246) ma usunięty/nie używany i-węzeł 4145344. Wyczyścić? tak

Wpis 'OpenAL-CVS-i486-1.tgz' w ??? (4145246) ma usunięty/nie używany i-węzeł 4145315. Wyczyścić? tak

Wpis 'e010n50.tgz' w ??? (4145246) ma usunięty/nie używany i-węzeł 4145333. Wyczyścić? tak

(...)

I-węzeł 4146657 (.../images/www.opera.com.ico) ma błędne uprawnienia (0130000).

Wyczyścić? tak

(...)

System plików zawiera duże pliki, ale brak flagi LARGE_FILE w superbloku.

Poprawić? tak

Przebieg 3: Sprawdzanie łączności katalogów

Nie podłączony i-węzeł katalogu 4145412 (...)

Dołączyć do /lost+found? tak

Nie znaleziono /lost+found. Wyczyścić? tak

Nie podłączony i-węzeł katalogu 1310755 (...)

Dołączyć do /lost+found? tak

Nie podłączony i-węzeł katalogu 1310759 (...)

Dołączyć do /lost+found? tak

(...)

Przebieg 4: Sprawdzanie liczników odwołań

licznik odwołań i-węzła 2 wynosi 13, powinno być 11. Poprawić? tak

Niedołączony i-węzeł 835585

Dołączyć do /lost+found? tak

licznik odwołań i-węzła 835585 wynosi 2, powinno być 1. Poprawić? tak

Niedołączony i-węzeł 983041

Dołączyć do /lost+found? tak

```

znaczna część plików jest czytelna, część uszkodzona, część zniszczona, a części w ogóle nie ma (np. zupełnie zniknął /home prawdopodobnie jest teraz w lost+found  :Smile:  )

Udało mi się odczytać część logów i jednymi z ostatnich wpisów są wielokrotne próby logowania przez SSH oraz odrzucanie pakietów prze kmyfirewall. 

```

/var/log/sshd/current :

Jan  8 08:04:04 [sshd] Received signal 15; terminating.

Jan  8 08:05:15 [sshd] Server listening on 0.0.0.0 port 22.

Jan  8 08:09:53 [sshd] Received signal 15; terminating.

Jan  8 10:02:10 [sshd] Server listening on 0.0.0.0 port 22.

Jan  8 13:22:01 [sshd] Did not receive identification string from 58.4.140.154

Jan  8 13:29:20 [sshd] Invalid user sifak from 58.4.140.154

Jan  8 13:29:26 [sshd] Invalid user slasher from 58.4.140.154

Jan  8 13:29:32 [sshd] Invalid user fluffy from 58.4.140.154

Jan  8 13:29:38 [sshd] Invalid user admin from 58.4.140.154

Jan  8 13:29:44 [sshd] Invalid user test from 58.4.140.154

Jan  8 13:29:51 [sshd] Invalid user guest from 58.4.140.154

Jan  8 13:29:56 [sshd] Invalid user webmaster from 58.4.140.154

```

```

/var/log/everything/current (znaczna część pliku jest uszkodzona)

Jan  8 13:29:20 [sshd] Invalid user sifak from 58.4.140.154

Jan  8 13:29:20 [kernel] KMF_INPUT:IN=eth1 OUT= MAC=00:90:64:a2:08:08:00:08:a3:f8:2d:38:08:00 SRC=58.4.140.154 DST=213.199.196.138 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=39878 DF PROTO=TCP SPT=2152 DPT=22 WINDOW=5840

RES=0x00 SYN URGP=0

Jan  8 13:29:26 [kernel] KMF_INPUT:IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:08:a3:f8:2d:38:08:00 SRC=172.25.0.1 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=255 ID=46160 PROTO=UDP SPT=67 DPT=68 LEN=308

Jan  8 13:29:26 [sshd] Invalid user slasher from 58.4.140.154

Jan  8 13:29:32 [sshd] Invalid user fluffy from 58.4.140.154

Jan  8 13:29:32 [kernel] KMF_INPUT:IN=eth1 OUT= MAC=00:90:64:a2:08:08:00:08:a3:f8:2d:38:08:00 SRC=58.4.140.154 DST=213.199.196.138 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=35409 DF PROTO=TCP SPT=2775 DPT=22 WINDOW=5840

RES=0x00 SYN URGP=0

Jan  8 13:29:38 [sshd] Invalid user admin from 58.4.140.154

Jan  8 13:29:38 [kernel] KMF_INPUT:IN=eth1 OUT= MAC=00:90:64:a2:08:08:00:08:a3:f8:2d:38:08:00 SRC=58.4.140.154 DST=213.199.196.138 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=34614 DF PROTO=TCP SPT=1763 DPT=22 WINDOW=5840

RES=0x00 SYN URGP=0

Jan  8 13:29:44 [sshd] Invalid user test from 58.4.140.154

Jan  8 13:29:44 [kernel] KMF_INPUT:IN=eth1 OUT= MAC=00:90:64:a2:08:08:00:08:a3:f8:2d:38:08:00 SRC=58.4.140.154 DST=213.199.196.138 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=24036 DF PROTO=TCP SPT=1407 DPT=22 WINDOW=5840

RES=0x00 SYN URGP=0

Jan  8 13:29:51 [sshd] Invalid user guest from 58.4.140.154

Jan  8 13:29:51 [kernel] KMF_INPUT:IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:08:a3:f8:2d:38:08:00 SRC=172.25.0.1 DST=255.255.255.255 LEN=328 TOS=0x00 PREC=0x00 TTL=255 ID=46171 PROTO=UDP SPT=67 DPT=68 LEN=308

Jan  8 13:29:56 [sshd] Invalid user webmaster from 58.4.140.154

Jan  8 13:29:57 [kernel] KMF_INPUT:IN=eth1 OUT= MAC=00:90:64:a2:08:08:00:08:a3:f8:2d:38:08:00 SRC=58.4.140.154 DST=213.199.196.138 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=15910 DF PROTO=TCP SPT=2406 DPT=22 WINDOW=5840

RES=0x00 SYN URGP=0

```

znalazłem też wcześniejsze logi z sshd, które wskazują na to, że ktoś interesował się moim komputerem już wcześniej

```

/var/log/sshd/log-2006-01-08-09:04:04

Jan  6 14:12:33 [sshd] PAM adding faulty module: /lib/security/system-auth

Jan  6 14:12:33 [sshd] PAM pam_parse: expecting return value; [...include]

                - Last output repeated 2 times -

Jan  6 14:12:41 [sshd] Invalid user test from 221.169.125.102

Jan  6 14:12:41 [sshd] reverse mapping checking getaddrinfo for 221-169-125-125-102.adsl.static.seed.net.tw failed - POSSIBLE BREAKIN ATTEMPT!

Jan  6 14:12:41 [sshd] PAM pam_parse: expecting return value; [...include]

Jan  6 14:12:41 [sshd] PAM unable to dlopen(/lib/security/system-auth)

Jan  6 14:12:41 [sshd] PAM [dlerror: /lib/security/system-auth: cannot open shared object file: No such file or directory]

Jan  6 14:12:41 [sshd] PAM adding faulty module: /lib/security/system-auth

Jan  6 14:12:41 [sshd] PAM pam_parse: expecting return value; [...include]

                - Last output repeated 2 times -

Jan  6 14:12:51 [sshd] Invalid user test from 221.169.125.102

Jan  6 14:12:51 [sshd] reverse mapping checking getaddrinfo for 221-169-125-125-102.adsl.static.seed.net.tw failed - POSSIBLE BREAKIN ATTEMPT!

Jan  6 14:12:51 [sshd] PAM pam_parse: expecting return value; [...include]

Jan  6 14:12:51 [sshd] PAM unable to dlopen(/lib/security/system-auth)

Jan  6 14:12:51 [sshd] PAM [dlerror: /lib/security/system-auth: cannot open shared object file: No such file or directory]

Jan  6 14:12:51 [sshd] PAM adding faulty module: /lib/security/system-auth

Jan  6 14:12:51 [sshd] PAM pam_parse: expecting return value; [...include]

                - Last output repeated 2 times -

Jan  6 20:17:50 [sshd] Received signal 15; terminating.

Jan  6 20:17:52 [sshd] Server listening on 0.0.0.0 port 22.

Jan  7 00:04:38 [sshd] Did not receive identification string from 70.89.5.172

```

Czy ktoś włamał się na mój komputer i mi go zsabotował (wszystkie wymienione adresy, z których ktoś ?próbował? się zalogować na mój sshd są przydzielane przez www.iana.org), czy padł mi system sam od siebie (ostatnio po emerge -puv world dużo czasu musiałem spędzić na przywróceniu systemu do życia, więc jest to dla mnie równie prawdopodobne) Co o tym sądzicie? 

Z góry dziękuję za zainteresowanie tematem. 

Pozdrawiam

mcAnswer

----------

## BeteNoire

Na Twoim miejscu już bym temu systemowi nie ufał i go nie używał  :Wink:  A przynajmniej "przejechał" po nim każdym możliwym anty-rootkitem (rkhunter, chkrootkit itp...).

----------

## brodi

```

user slasher from 58.4.140.154

user fluffy from 58.4.140.154

user admin from 58.4.140.154

user test from 58.4.140.154

user guest from 58.4.140.154

user webmaster from 58.4.140.154 

```

Jak dla mnie to ewidentny włam. Proponuje postawić system od nowa.. 

Możesz też pisać maile z logami w zalaczniku pod adresy kontkatowe wyciągnięte z whois. Co prawda to Tajwan i Japonia. W przypadku Korei można by było o tym zapomnieć (vide spam koreański) chociaż co do Tajwanu też mam poważne wątpliwości. Jedno jest pewne - spróbować nie zaszkodzi.

Pozdrawiam

----------

## siid

nie zapominajmy o skryptach na stronkach etc ja np mam

```

Jan  9 03:53:20 localhost sshd[12014]: Invalid user apple from 204.209.13.44

Jan  9 03:53:23 localhost sshd[12247]: Invalid user brian from 204.209.13.44

Jan  9 03:53:26 localhost sshd[12396]: Invalid user andrew from 204.209.13.44

Jan  9 03:53:28 localhost sshd[12614]: Invalid user newsroom from 204.209.13.44

Jan  9 03:53:31 localhost sshd[12823]: Invalid user magazine from 204.209.13.44

Jan  9 03:53:34 localhost sshd[13016]: Invalid user research from 204.209.13.44

Jan  9 03:53:36 localhost sshd[13430]: Invalid user cjohnson from 204.209.13.44

Jan  9 03:53:39 localhost sshd[14393]: Invalid user export from 204.209.13.44

Jan  9 03:53:42 localhost sshd[15324]: Invalid user photo from 204.209.13.44

Jan  9 03:53:44 localhost sshd[15743]: Invalid user gast from 204.209.13.44

Jan  9 03:53:47 localhost sshd[16382]: Invalid user murray from 204.209.13.44

Jan  9 03:53:49 localhost sshd[16792]: Invalid user falcon from 204.209.13.44

Jan  9 03:53:52 localhost sshd[17111]: Invalid user fly from 204.209.13.44

Jan  9 03:53:54 localhost sshd[17692]: Invalid user gerry from 204.209.13.44

Jan  9 03:54:04 localhost sshd[19377]: Invalid user guest from 204.209.13.44

Jan  9 03:54:05 localhost sshd[19577]: Invalid user test from 204.209.13.44

Jan  9 03:54:06 localhost sshd[19969]: Invalid user test1 from 204.209.13.44

Jan  9 03:54:07 localhost sshd[20471]: Invalid user teste from 204.209.13.44

Jan  9 03:54:08 localhost sshd[20893]: Invalid user admin from 204.209.13.44

Jan  9 03:54:12 localhost sshd[22065]: Invalid user webmaster from 204.209.13.44

Jan  9 03:54:14 localhost sshd[22211]: Invalid user web from 204.209.13.44

Jan  9 03:54:15 localhost sshd[22622]: Invalid user http from 204.209.13.44

Jan  9 03:54:16 localhost sshd[23038]: Invalid user httpd from 204.209.13.44

Jan  9 03:54:18 localhost sshd[23653]: Invalid user www from 204.209.13.44

Jan  9 03:54:20 localhost sshd[24088]: Invalid user www1 from 204.209.13.44

Jan  9 03:54:25 localhost sshd[25823]: Invalid user ftpuser from 204.209.13.44

Jan  9 03:54:27 localhost sshd[26331]: Invalid user data from 204.209.13.44

Jan  9 03:54:28 localhost sshd[26738]: Invalid user oracle from 204.209.13.44

Jan  9 03:54:31 localhost sshd[27113]: Invalid user user from 204.209.13.44

Jan  9 03:54:41 localhost sshd[27119]: Invalid user install from 204.209.13.44

Jan  9 03:54:43 localhost sshd[27285]: Invalid user linux from 204.209.13.44

Jan  9 03:54:46 localhost sshd[27492]: Invalid user service from 204.209.13.44

Jan  9 03:54:48 localhost sshd[28458]: Invalid user demo from 204.209.13.44

Jan  9 03:54:53 localhost sshd[29303]: Invalid user password from 204.209.13.44

Jan  9 03:54:59 localhost sshd[31141]: Invalid user pass from 204.209.13.44

Jan  9 03:55:01 localhost sshd[31695]: Invalid user system from 204.209.13.44

Jan  9 03:55:02 localhost sshd[31890]: Invalid user temp from 204.209.13.44

Jan  9 03:55:05 localhost sshd[32253]: Invalid user fedora from 204.209.13.44

Jan  9 03:55:06 localhost sshd[32574]: Invalid user falcon from 204.209.13.44

Jan  9 03:55:09 localhost sshd[558]: Invalid user cocolino from 204.209.13.44

Jan  9 03:55:11 localhost sshd[700]: Invalid user server from 204.209.13.44

Jan  9 03:55:16 localhost sshd[1300]: Invalid user master from 204.209.13.44

Jan  9 03:55:18 localhost sshd[1684]: Invalid user www-data from 204.209.13.44

Jan  9 03:55:20 localhost sshd[1983]: Invalid user andrew from 204.209.13.44

Jan  9 03:55:24 localhost sshd[2444]: Invalid user testuser from 204.209.13.44

Jan  9 03:55:26 localhost sshd[2620]: Invalid user tester from 204.209.13.44

Jan  9 03:55:31 localhost sshd[3329]: Invalid user knoppix from 204.209.13.44

Jan  9 03:55:33 localhost sshd[3638]: Invalid user design from 204.209.13.44

Jan  9 03:55:36 localhost sshd[3930]: Invalid user public from 204.209.13.44

```

----------

## noobah

 *_lucas_ wrote:*   

> Jak dla mnie to ewidentny włam. Proponuje postawić system od nowa.. 

 

To nie Windows żeby od razu instalkę robić od nowa (sic!) System trzeba uszczelnić, BeteNoire ma rację.

----------

## canis_lupus

Podepne się pod temat... Jak dodać sshd do programu logującego? W /var/log/ nawet nie mam nic co by było związane z sshd.

----------

## kion

ja mam w głowynym logu informacje odnośnie logowania ssh. Więc powinno być standardowo. Jelsi chodiz o próby logowania się do kompa przez ssh, to mam podobny problem, ale nic poza uszczelnieniem serwera chyba nie można zrobić.

Te próby są nieudolne i raczej nie wchodzi w gre logowanie na kompa, chyba, ze źle skonfigurowałes ssh. Jesli masz wygenerowane klucze i wrzycony swoj na serw i tak się logujesz a nie przez pam, to raczej możesz być spokojny o włamania. Przynajmniej ja tak mam i wolę o tym więcej nie mysleć. 

Co do błędów, to masz chyba coś ne tak z systemem plików lub dyskiem a nie włamaniem.

----------

## Xax

 *canis_lupus wrote:*   

> Podepne się pod temat... Jak dodać sshd do programu logującego? W /var/log/ nawet nie mam nic co by było związane z sshd.

 

A jakiego programu logujacego uzywasz ? Ja mam metalog a w /etc/metalog.conf wpis

```
SSH Server :

  program  = "sshd"

  logdir   = "/var/log/sshd"
```

Jezeli do polaczen przez ssh z komputerem uzywamy komputerow o znanych nam z gory numerach IP proponuje w ramach zabezpieczen wyciac dla portu 22 wszystie pozostale IP na iptables.

Ja wpisow typu

```
Jan  4 11:24:36 [sshd] Invalid user ydekin from 209.152.163.201
```

w logach mialem swego czasu miliony.

----------

## n0rbi666

na swoim minu-serwerku mam już dosyć sporo prób takiego "włamu"

To po prostu jakiś skrypt, który ma predefiniowane hasła, i próbuje odgadnąć coś.

Mimo, że to denerwujące - jeszcze ani razu mi nie zaszkodziło, więc i tutaj myślę, że wina leży gdzie indziej:)

----------

## brodi

 *zwirk wrote:*   

> 
> 
> To nie Windows żeby od razu instalkę robić od nowa (sic!) System trzeba uszczelnić, BeteNoire ma rację.
> 
> 

 

Hmmm.. szczerze mówiąc to nie wiadomo jak daleko posunął się szkodnik.. oczywiście, że można uszczelniać system, ale z tego co napisał 

mcanswer bałaganu zrobiło się sporo.. Ja bym po prostu nie ryzykował. Każdy robi jak uważa..

 *n0rbi666 wrote:*   

> 
> 
> To po prostu jakiś skrypt, który ma predefiniowane hasła, i próbuje odgadnąć coś. 
> 
> 

 

W taki sposób działa np.:

```

* net-analyzer/hydra

     Available versions:  4.4 ~4.7 ~5.0

     Installed:           none

     Homepage:            http://www.thc.org/thc-hydra/

     Description:         Advanced parallized login hacker

```

Podajesz mu plik ze słownikiem, plik z loginami, IP, usługe.. oczywiście tylko w celach edukacyjnych  :Wink: 

Pozdrawiam

----------

## buzzer

Na mój serwerek dochodzi do prób logowania się przez ssh średnio raz dziennie. Nikomu się nie udało zalogować, ale denerwowała mnie ta ilość logów. W końcu zrobiłem sobie skrypt który odcina delikwenta (jego IP) na poziomie firewalla po dwóch nieudanych próbach zalogowania się.

Po kilku miesiącach zrobiła mi się całkiem spora lista odciętych IP...

----------

## sir KAT

Jeśli z tego ssh korzystasz tylko Ty lub niewiele osób to proponuję przenieść usługę na jakiś wysoki port.

----------

## argasek

Ktośtam pisał o ewidentnym włamie. Powiem krótko.

Wyluzować.

Polecam lekturę tego i Google. Jest to rodzaj mass-rootera, notabene automatycznego, tzn. możesz być pewien że nawet jeśli atak pochodził z tych IPków to osoba będąca właścicielem nic o tym nie wie, a atak jest na zasadzie losowego wyboru IP. Rootkit miał swoje źródło bodajże w Czechach. Jak już wspominałem, po przekopaniu Googla znajdziesz dokładne informacje, ale absolutnie się tym przejmować nie należy - no chyba że masz w systemie takich userów, pozbawionych haseł.

----------

## edi15ta

moim zdaniem po pierwsze jesli mialbym te same watpliwosci co ty, od razu przeinstalowalbym system. 

po drugie polecam pakiet 

```
app-admin/denyhosts
```

, za pomoca ktorego bedziesz mogl odrzucac proby wlaman po kolejnych nieprawidlowych probach zalogowania.

----------

## Gabrys

Popieram tych, którzy mówią o ograniczonym dostępie na porcie 22. Ja mam u siebie ustawioną bitmaskę i nikt spoza pewnego przedziału adresów (+ kilka dodanych ręcznie) nie ma prawa się logować przez SSH. Pomysł z przeniesieniem SSH na inny port też jest dobry. W ten sposób zatrzymujesz wszystkie automaty. A ataki specjalne: cóż tutaj jak wiemy nic nie zatrzyma zdolnego hakera. Na każde zabezpieczenie jest antyzabezpieczenie, więc trzeba ograniczyć użytkowników systemu do wyłącznie tych, którym się ufa i usunąć wszystkich, którzy mają puste hasła oraz ustawić dla maksymalnie dużej ilości shella na /bin/false (ewentualne scponly). No i stanowczo po takim włamie, który najprawdopodobniej coś zepsuł (choć mógł to być oczywiście przypadek -- spore wahania napięcia w sieci energetycznej  :Question: ) polecał bym reinstalację systemu od zera.

----------

## Raku

 *zwirk wrote:*   

>  *_lucas_ wrote:*   Jak dla mnie to ewidentny włam. Proponuje postawić system od nowa..  
> 
> To nie Windows żeby od razu instalkę robić od nowa (sic!)

 

W przypadku potwierdzonego włamania jedynym skutecznym rozwiązaniem jest reinstalacja systemu (po wcześniejszym zabezpieczeniu dowodów włamania).

W tym przypadku (logi z ssh) ciężko mówić o włamaniu. To po prostu efekt zombie.

----------

## mcanswer

Dziękuję wszystkim za posty. Nie spodziewałem się aż takiej ich ilości  :Smile:  Ja jak na razie odzyskałem z systemu plików (a konkretnie z lost+found  :Smile:  ) wszystkie dane na których mi zależy. System jest za mocno naruszony, żeby go naprawiać (do lost+found trafiło mnóstwo binarek, plików konfiguracyjnych i innych, które są wymagane dla pracy systemu), tak więc i tak zainstaluję sobie cały od zera. Rady, których mi udzieliliście na pewno bardzo mi się przydadzą. Port sshd przeniosę wyżej i popracuję trochę nad zasadami logowania. Ograniczyć zakresu IP, z których dopuszczalne jest logowanie raczej nie mogę, ponieważ loguję się z wielu komputerów, a część z nich ma w dodatku zmienne IP. Z innych źródeł dostałem też radę, by zmienić nazwę konta z root na inną. A także, aby używać hasła dla pojedynczej sesji przesyłanego np przez SMS. Jak można takie coś zrealizować? Założyłem osobny wątek. Zapraszam

----------

## siid

mcanswer - sprawdz sprzet zeby Ci sie to nie powtorzylo :/

----------

## argasek

 *mcanswer wrote:*   

> Ograniczyć zakresu IP, z których dopuszczalne jest logowanie raczej nie mogę, ponieważ loguję się z wielu komputerów, a część z nich ma w dodatku zmienne IP.

 

Na to też jest rozwiązanie. O ile nie planujesz logowania z zagranicy, ten link bardzo Cię zainteresuje.

----------

## lukierek

Witam !

A brałeś pod uwagę, że po prostu padł Ci system plików? Może to wcale nie jest włamanie...

pozdrawiam

----------

## kicior

Co do samego ssh to ja polecam odpalać serv ssh na porcie innym niż 22, ilość prób włamania, skanowań itp spada praktycznie do 0 po takim zabiegu. Do tego dodajesz denyhosts i na żywca w sshd_config wypisujesz userów, którzy mogą się logować i jest dużo lepiej. Jeśli możesz to jeszcze generujesz sobie kluczyk i wyłączasz możliwość logowania się za pomocą hasła.

----------

## WujekStaszek

Tez kidys cos takiego mialem, co prawda dostali sie tylko na konto usera, ale po tym zabezpieczylem system (to Slackware), zmienilem port ssh na 30 i od tego momentu juz nikt sie nie interesowal moim ssh.

----------

## przemos

 *lukierek wrote:*   

> Witam !
> 
> A brałeś pod uwagę, że po prostu padł Ci system plików? Może to wcale nie jest włamanie...
> 
> pozdrawiam

 

Myślę, że lukierek jest najbliższy prawdy. Ewentualnie jakiś błąd na dysku. Miałem coś bardzo podobnego tylko, że w moim przypadku za każdym razem, gdy uruchamiałem emerge komputer restartował się  :Very Happy: , w logach ssh też miałem dużo prób logowań i swego czasu też trochę panikowałem, ale z perspektywy czasu stwierdzam, że to nie miało prawdopodobnie dużo wspólnego z atakami.

----------

## tuniek

A właśnie tak trochę Off Topic  :Smile:  bo sie tak zastanowiłem właśnie ... Już dawno jade na innym niż 22 porcie ... a teraz mnie naszło zapytać siebie czy lepszy jest port wysoki czy niski  ?? ... Mnie się zdaje że wysoki ... 

/lepszy pod względem bezpieczeństwa /

----------

## Raku

 *tuniek wrote:*   

> A właśnie tak trochę Off Topic  bo sie tak zastanowiłem właśnie ... Już dawno jade na innym niż 22 porcie ... a teraz mnie naszło zapytać siebie czy lepszy jest port wysoki czy niski  ?? ... Mnie się zdaje że wysoki ... 
> 
> /lepszy pod względem bezpieczeństwa /

 

IMO to nie ma znaczenia.

Bedę teraz trochę kontrowersyjny w swojej wypowiedzi, ale przenoszenie portów jest bez sensu. Jeśli ma to was uchronić jedynie przed script kiddy albo zawirusowanymi komputerami (czytaj: przenoszenie po to, żeby mieć czyściej w logach), to jest to przerost formy nad treścią. Jeśli obawiacie się ataku prostego generatora, to znaczy że uzywacie słabych haseł. Wystarczy w miare bezpieczne (nie słownikowe) hasło i żaden bot już tego nie ugryzie (musiałby mieć potężny słownik albo próbować metodą brutalną, a to już łatwo w logach zobaczyć i nawet ręcznie wyciąć.

Przeneisienie ssh na inny port nie uchroni was przed prawdziwym (żywym lub znającym sie na rzeczy) włamywaczem. Co to za problem przeskanować cały zakres portów i sprawdzić, jaka usługa na którym nasłuchuje?

IMO najlepszym rozwiązaniem jest blokowanie dostępu do serwera po kilku nieudanych próbach logowania. Blokowanie czasowe - np. na 5 lub 10 minut. Script kiddy lub wirus dadzą sobie w tym czasie spokój. Jak to zrobić?

Przykład:

```

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 300 

   --hitcount 3 -j DROP

```

po 3 nieudanych próbach nawiązania połączenia z portem 22 zostaje on blokowany dla danego ip na 5 minut

Pomysł znalazłem na tej stronie

----------

## krzyh

Ja majac taki problem rozwiazalem go skryptem efekt dzialania tu: http://kuzmicki.net/?q=node/5 Jak by kto chcial cos wiecej na ten temat to moge podrzucic na stronke co i jak.

----------

## tuniek

Raku ...  :Smile:  trudno się nie zgodzić  :Smile:  Moje pytanie zadałem ogólniej ... niekoniecznie odnośnie brute force na ssh .. Zastanawiam się po prostu czy bezpiecznie jest mieć jakiegoś demona nasłuchującego na wysokim porcie. Czy jednak lepiej żeby to był niski port. A może to nie ma znaczenia ... /choć wydaje mi się że jednak ma/

----------

## ayem

 *zwirk wrote:*   

>  *_lucas_ wrote:*   Jak dla mnie to ewidentny włam. Proponuje postawić system od nowa..  
> 
> To nie Windows żeby od razu instalkę robić od nowa (sic!) System trzeba uszczelnić, BeteNoire ma rację.

 

moze i ne windows, ale poradnik bezpieczenstwa gentoo mowi jasno - systemowi skompromitowanemu NIGDY nie mozesz zaufac i zaleca clean install.

tutaj nie m a pewnosci czy sie udalo czy nie, system plikow pewnie sie wysypal przy zapisie logow, albo poprostu cos sie w kompie sypnello, ale pewnosci nie ma.

----------

## Raku

 *tuniek wrote:*   

> Zastanawiam się po prostu czy bezpiecznie jest mieć jakiegoś demona nasłuchującego na wysokim porcie. Czy jednak lepiej żeby to był niski port. A może to nie ma znaczenia ... /choć wydaje mi się że jednak ma/

 

nie ma żadnego znaczenia. Nie ma portów lepiej i mniej zabezpieczonych.

----------

## szolek

Tak apropo jak ssh, autoryzacja po samym pubil key'u może bedzie lepszym rozwiązaniem. Ataki typu brutal force myślę że powstrzyma.   :Wink: Last edited by szolek on Fri Feb 24, 2006 6:15 pm; edited 1 time in total

----------

## rzabcio

To jest bardzo dobry pomysl. Tymbardziej, że nie ma problemu mieć ze sobą zawsze klucz do systemu na pendrivie czy mpmanie...

----------

## qermit

Mam takie pytanie czy:

-przeniesienie usługi na inny port - zmiana kosmetyczna, porównał bym ją z wizytą u fryzjera

-używanie logowania tylko za pomocą klucza

-zainstalowanie jakiegoś anty-port-skanera z blokowaniem?

wystarcza, czy trzeba się jeszcze bawić w iptables?

----------

## szolek

Najlepiej całkowicie DROP na wejście. Wkońcu to najlepsze zabezpieczenie. A łączność z ssh można zapewnić sobie emergując net-misc/knock.

Dodatkowo kartę GSM, która posłóży do potwierdzającego kodu minutowego. Jeszcze mi przychodzi do głowy pomysł z autoryzacją po głosie. Był w sumie temat "linux jako alarm". Co prawda trzeba by nieco makeup zrobić. Załadować próbke swojego głosu (najlepiej coś w stylu "stuł z powyłamywanymi ..."), a sam skrypt wzbogacić o funkcje korelacji (czyli takie porównanie). A jak ma to być zdalnie to karte GSM już mamy. I wszystko to w kaskadę jedno zabezpieczenie za drugim. I bedzie najwyższy poziom bezpieczeństwa. No super ale kto za to płaci?

----------

