Logi - Co Z Tym Zrobic ?

[adams24]

Jul 20 04:27:22 serwer-ug sshd[2912]: pam_succeed_if(sshd:auth): error retrieving information about user playboy
Jul 20 04:27:24 serwer-ug sshd[2912]: Failed password for invalid user playboy from 61.145.119.180 port 52413 ssh2
Jul 20 04:27:24 serwer-ug sshd[2913]: Received disconnect from 61.145.119.180: 11: Bye Bye
Jul 20 04:27:27 serwer-ug sshd[2914]: Invalid user hotmail from 61.145.119.180
Jul 20 04:27:27 serwer-ug sshd[2915]: input_userauth_request: invalid user hotmail
Jul 20 04:27:27 serwer-ug sshd[2914]: pam_unix(sshd:auth): check pass; user unknown
Jul 20 04:27:27 serwer-ug sshd[2914]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.145.119.180 
Jul 20 04:27:27 serwer-ug sshd[2914]: pam_succeed_if(sshd:auth): error retrieving information about user hotmail
Jul 20 04:27:29 serwer-ug sshd[2914]: Failed password for invalid user hotmail from 61.145.119.180 port 53962 ssh2
Jul 20 04:27:30 serwer-ug sshd[2915]: Received disconnect from 61.145.119.180: 11: Bye Bye
Jul 20 04:27:34 serwer-ug sshd[2916]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.145.119.180  user=mail
Jul 20 04:27:36 serwer-ug sshd[2916]: Failed password for mail from 61.145.119.180 port 55136 ssh2
Jul 20 04:27:36 serwer-ug sshd[2917]: Received disconnect from 61.145.119.180: 11: Bye Bye
Jul 20 04:27:40 serwer-ug sshd[2920]: Invalid user hotline from 61.145.119.180
Jul 20 04:27:40 serwer-ug sshd[2922]: input_userauth_request: invalid user hotline
Jul 20 04:27:40 serwer-ug sshd[2920]: pam_unix(sshd:auth): check pass; user unknown
Jul 20 04:27:40 serwer-ug sshd[2920]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.145.119.180 
Jul 20 04:27:40 serwer-ug sshd[2920]: pam_succeed_if(sshd:auth): error retrieving information about user hotline
Jul 20 04:27:41 serwer-ug sshd[2920]: Failed password for invalid user hotline from 61.145.119.180 port 56410 ssh2
Jul 20 04:27:42 serwer-ug sshd[2922]: Received disconnect from 61.145.119.180: 11: Bye Bye
Jul 20 04:27:44 serwer-ug sshd[2923]: Invalid user sex from 61.145.119.180
Jul 20 04:27:44 serwer-ug sshd[2924]: input_userauth_request: invalid user sex
Jul 20 04:27:44 serwer-ug sshd[2923]: pam_unix(sshd:auth): check pass; user unknown
Jul 20 04:27:44 serwer-ug sshd[2923]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.145.119.180 
Jul 20 04:27:45 serwer-ug sshd[2923]: pam_succeed_if(sshd:auth): error retrieving information about user sex
Jul 20 04:27:46 serwer-ug sshd[2923]: Failed password for invalid user sex from 61.145.119.180 port 57617 ssh2
Jul 20 04:27:47 serwer-ug sshd[2924]: Received disconnect from 61.145.119.180: 11: Bye Bye
Jul 20 04:27:50 serwer-ug sshd[2925]: Invalid user sesso from 61.145.119.180
Jul 20 04:27:50 serwer-ug sshd[2926]: input_userauth_request: invalid user sesso
Jul 20 04:27:50 serwer-ug sshd[2925]: pam_unix(sshd:auth): check pass; user unknown
Jul 20 04:27:50 serwer-ug sshd[2925]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.145.119.180

 

Widze ze nieustannie ktos probuje sie dobic na moj serwer. N szczescie serwer ten nie jest stale udostepniony w internecie, to jest czesc logow z jednego dnia kiedy przekierowalem porty na ten serwer.

 

Co doradzacie??? Czy zmaina portu na ktorym dziala ssh pomoga, czy to jest (_wogole_ → w ogóle) ORT samobojstwo udostepniac ssh na zewnatrz???

 

Na ruterze (Ipcop) za ktorym stoi ten serwer standardowo wylanaczam przekierowanie na port ssh po zakonczeniu pracy.

 

Przy dłuższych listingach proszę stosować codebox zamiast code /Karlik

[@perl]

Jest kilka podstawowych rzeczy (stosowanych powszechnie), które trzeba zrobić, aby ograniczyć dostęp do Twojego serwera z zewnątrz:

- skonfiguruj zaporę sieciową iptables (ruch na porcie ssh powinien być tylko z określonej puli adresów) - jest to warstwa najbliżej jądra i jest najbardziej skuteczna

- skonfiguruj hosts.allow i hosts.deny (w hosts.allow dopusc pule adresów, w hosts.deny zablokuj wszystko inne) - jest to warstwa aplikacji sieciowych - m.in. ssh (czyli uzupełnienie powyższego zabezpieczenia)

- wyłącz dostęp do logowania się na użytkownika root z zewnątrz za pomoca ssh (/etc/ssh/sshd_config) - dostęp do roota pownien być dozwolony tylko z innego konta w systemie - napastnik musiałby najpier zalogować się na jakiegoś użytkownika, aby potem móc zalogować się na roota

- wyłącz możliwośc wykonania lokalnego ssh na maszynie - w przypadku exploitów ssh napastnik będzie miał utrudnienie

 

Dodatkowe strony (pamiętaj google Twoim przyjacielem ):

http://www.debianusers.pl/article.php?aid=71

http://www.ssh.com/support/documentation/o...rs_Support.html

http://www.eioba.pl/a71411/pliki_hosts_allow_oraz_hosts_deny

 

[adams24]

Wiem że google moim przyjacielem. Poszukałem poczytałem teraz trzeba się (_wziąść_ → wziąć) ORT do roboty. Al dzieki za podpowiedź utwierdziłeś mnie perl w moich przekonaniach. Zawsze dobrze jest poznać zdanie zawansowanych adminów.

[Arabski]

Możesz "przesunąć" ssh na wysoki port. U siebie tak mam i logi są czyste.

 

p.s. Teraz doczytałem - żadne samobójstwo. Większość skanów to automaty szukające na standardowych portach.

[MonteChristo]

fail2ban -> banalny program, ktory spokojnie poradzi sobie z tym co masz.

[@perl]

fail2ban -> banalny program, ktory spokojnie poradzi sobie z tym co masz.

testowałeś to? ja do automatów nigdy nie miałem przekonania, ale po zasadzie działania to rzeczywiście proste i w 95% skuteczne rozwiązanie,

 

[MonteChristo]

testowalem ! dziala wysmienicie....dlatego polecam. To jeden z lepszych automatow....