активизация ssh ботнетов

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

активизация ssh ботнетов

Сообщение setar » 10 авг 2010, 13:30

Последние несколько недель наблюдаю активизацию попыток распределённого взлома нашего сервера по словарю по ssh
:smoke: глупые, мы и пароли то не используем...
ну да ладно
возможно кому то пригодится мой список (обновление ежечасное ) http://3nity.ru/files/hosts.deny.local
его в добавок к стандартному списку с sshbl.org нужно поместить в /etc/hosts.deny

скрипт для кронтаба:

Код: Выделить всё

#!/bin/bash
wget -O /etc/hosts.deny http://www.sshbl.org/lists/hosts.deny
wget -O /etc/hosts.deny.trinity http://3nity.ru/files/hosts.deny.local
cat /etc/hosts.deny.trinity >> /etc/hosts.deny
t.me: @RoboforumSetar ; st@3nt.ru

Serge10
Advanced member
Сообщения: 138
Зарегистрирован: 19 ноя 2003, 15:49
Откуда: Санкт-Петербург
Контактная информация:

Re: активизация ssh ботнетов

Сообщение Serge10 » 11 авг 2010, 16:52

setar писал(а):го в добавок к стандартному списку с sshbl.org нужно поместить в /etc/hosts.deny
А зачем, собственно говоря? Если Вы пароли не используете, то не все ли равно, на каком уровне будет отлуп авторизации? Я еще понимаю, блокировать средствами iptables - так хоть нагрузку канала уменьшить можно, хотя сейчас это, IMHO, не актуально.

Я, например, просто игнорирую эти попытки авторизации...

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Re: активизация ssh ботнетов

Сообщение and3008 » 11 авг 2010, 18:43

Береженного, как известно, бог бережет. Если вас ломают по SSH тупым перебором паролей, то есть вероятность, что пароль таки подберут. Вряд ли, но вдруг?
Поэтому лучше от греха, либо разрешить подключение с конкретных IP, либо блокировать множественные попытки подключения с одного IP на 2 минуты. На iptables это легко настраивается.

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Re: активизация ssh ботнетов

Сообщение setar » 12 авг 2010, 10:52

:) у меня сделана блокировка на уровне фаервола - работает fail2ban
а списки нужны для того чтобы получить запись в логе "refused connect from"
при первом появлении такой записи ставится дроп на сутки (не буду же я загонять в фаер весь список ботнета)
а ssh я сам пользуюсь иногда с мобильника и разных ip , поэтому не хочется делать привязку ко входу с определённых ip
:) на самом деле это даже не сколько экономия трафика, а больше активная чистка логов - такие записи меня раздражать стали
t.me: @RoboforumSetar ; st@3nt.ru

Serge10
Advanced member
Сообщения: 138
Зарегистрирован: 19 ноя 2003, 15:49
Откуда: Санкт-Петербург
Контактная информация:

Re: активизация ssh ботнетов

Сообщение Serge10 » 12 авг 2010, 16:47

and3008 писал(а):Если вас ломают по SSH тупым перебором паролей, то есть вероятность, что пароль таки подберут. Вряд ли, но вдруг?
Да ну, это не серьезно - там действительно по словарю работают. Случайная комбинация даже из 8 букв в разном регистре и цифр уже достаточна. Ну а если задавать более длинные пароли... Кроме того, у Setar, как я понял, вообще авторизация только по ключам, так что подбирать можно сколько угодно...
setar писал(а):у меня сделана блокировка на уровне фаервола - работает fail2ban
а списки нужны для того чтобы получить запись в логе "refused connect from"
при первом появлении такой записи ставится дроп на сутки (не буду же я загонять в фаер весь список ботнета)
а ssh я сам пользуюсь иногда с мобильника и разных ip, поэтому не хочется делать привязку ко входу с определённых ip
Так вот мне и интересно - нафига нужно заморачиваться? Авторизация у Вас все равно только по ключам - пусть ломятся, пока не надоест :).
а самом деле это даже не сколько экономия трафика, а больше активная чистка логов - такие записи меня раздражать стали
А, тогда понятно. Меня раньше тоже раздражали, потом просто фильтры логов настроил :).

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 9 гостей