OVH Community, your new community space.

Pomocy!


hanjin
13-06-2012, 09:57
Wątpię żeby ktoś łatwo znalazł port ssh przy zastosowaniu np. port knocking do tego klucze i parę innych zasad:

http://centos.net.pl/2012/05/04/cent...pieczanie-ssh/

slawek_cichon
13-06-2012, 09:34
Chodziło mi o to że spory odsetek ataków pochodzi z automatów które wyszukują maszyn, na których ssh nasłuchuje na domyślnym porcie i przypuszczają atak. Oczywiście zmiana samego portu nie jest gwarantem bezpieczeństwa, i faktycznie jeśli się ktoś uprze to znajdzie sobie ten port a wtedy przydaje właśnie iptables czy fail2ban.

Joshua
12-06-2012, 13:16
Cytat Napisał hdmagic
Ale teraz zabłysnąłeś!!

Co ma logowanie do zmiany portu?
Logi maja zadanie własnie zostawiać ślad w przypadku wszelkich niepowołanych działań, bez względu na jakim porcie będzie SSH.

PS.
Średnio rozgarnięty w 20 sek znajdzie na jakim porcie co działa.
A ja wolę tak:

Kod PHP:
iptables -N SSH_CHECK
iptables 
-A SSH_CHECK -m recent --set --name SSH --rsource 
iptables 
-A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j LOG --log-prefix "dropped ssh attack " 
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH --rsource -j DROP 
iptables 
-A SSH_CHECK -j ACCEPT 

iptables 
-t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables 
-t filter -A INPUT -i eth0 -<zaufany_adres_ip> -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
iptables 
-t filter -A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j SSH_CHECK 
I gotowe. Każdy IP wchodzący na port 22 częściej niż 4 razy na minutę jest dropowany. Jak hasło jest choć trochę sensowne - serwer jest dużo lepiej zabezpieczony przed atakami bruteforce. A logować się z nie mamy limitów.

hdmagic
12-06-2012, 12:53
Cytat Napisał slawek_cichon
A wystarczyło zmienić port domyślny dla ssh
Ale teraz zabłysnąłeś!!

Co ma logowanie do zmiany portu?
Logi maja zadanie własnie zostawiać ślad w przypadku wszelkich niepowołanych działań, bez względu na jakim porcie będzie SSH.

PS.
Średnio rozgarnięty w 20 sek znajdzie na jakim porcie co działa.

slawek_cichon
12-06-2012, 12:18
A wystarczyło zmienić port domyślny dla ssh

hdmagic
12-06-2012, 09:00
Nie chce być złośliwy, ale od ponad 2 tygodni z twojego dedyka, twoje IP miałem ciągłe skanowanie portów, co zgłosiłem do OVH załączając oczywiście logi..
Moim zdaniem nie ma co się litować.

gutek
12-06-2012, 08:46
Na przyszłość polecam fail2ban.

Gutek

mario1973
12-06-2012, 07:49
Tak z czystej ciekawości to 'złamali' hasło brutalem ? Było skomplikowane ? Czy raczej niekoniecznie ?

M

dzimi
12-06-2012, 05:43
Przeinstaluj serwer wybierając tylko pierwszy dysk. Potem odbuduj sobie RAID i zdrugiego dysku, napraw problem i voilà.

Yeahbunny
12-06-2012, 01:35
Logując się dziś do managera ujrzałem niemiłą wiadomość o blokadzie serwera.

http://pastebin.com/C4jtfBxe

Jednak po dostępie do ftp nie było tam wszystkich moich danych (tych najistotniejszych)
To jeszcze nie koniec ... 12 godzin po pierwszej wiadomości dostałem drugą.

http://pastebin.com/pDYhWra8

Podejrzewałem tutaj nieautoryzowany dostęp do serwera.Więc poprosiłem o przywrócenie serwera do wcześniejszego stanu w celu zlikwidowania błędu oraz utworzenia kopii bezpieczeństwa.
Niestety dobrej wiadomości nie otrzymałem.
http://pastebin.com/rT4hXTUd
Postanowiłem sprawdzić logi z serwera dostępne poprzez ftp
No i zobaczyłem
http://pastebin.com/9j6McmHb
Czy mogę mieć chociaż promil nadziei że dostanę backup serwera?
Jeżeli ktoś wyszedł z podobnej sytuacji proszę o wskazówki w postępowaniu
Pozdrawiam Michał!