Skocz do zawartości
Emil

Nieudane próby logowania SSH

Polecane posty

Witam

Mam pewien problem, dostałem maila od HetZner, że ktoś w ciągu ostatnich pięciu dni próbowal się zalogować 218 razy na moj serwer SSH skanując przy tym porty... Oczywiście próby były nieudane...

 

Poniżej oryginał maila:

 

The IP 78.46.**.* has been logged doing a dictionary attack on our SSH

> Server. In total, this IP made 218 access attempts during a few days. A

 

> section of our logs is below, and our server time is GMT-4.

>

> You are being emailed regarding this because you were the specified

abuse

> email contact in the whois query for the IP in question, or your email

was

> the best (or only) choice for our automated script. If you are not the

 

> correct contact and do not wish to get further security notices, we

> recommend adding a specified abuse email to your subnet's whois

> information.

>

 

> Mar 9 07:16:38 94697-web1 sshd[4224]: Failed password for root from

> 78.46.**.* port 34506 ssh2

> Mar 9 07:16:41 94697-web1 sshd[4228]: Failed password for root from

> 78.46.**.* port 34612 ssh2

> Mar 9 07:16:45 94697-web1 sshd[4274]: Failed password for root from

> 78.46.**.* port 34721 ssh2

> Mar 9 07:16:48 94697-web1 sshd[4290]: Failed password for root from

> 78.46.**.*port 34831 ssh2

> Mar 9 07:16:52 94697-web1 sshd[4294]: Failed password for root from

> 78.46**.* port 34938 ssh2

> Mar 9 07:16:59 94697-web1 sshd[4304]: Failed password for root from

> 78.46.**.* port 35040 ssh2

 

itd...

 

Jak myślicie co mogę w tej sprawie zrobić? Oczywiście serwer mam zabezpieczony... Ale z tego co zauważyłem hetzner lubi robić sporo problemow... :/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrick

Zabezpiecz się przed skanowaniem portów (Instalacja i konfiguracja APF to chyba najprostsze) i wywal ssh gdzieś na wysoki port by jakiś nmap szybkim skanowaniem nie znalazł.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Niby jakis administrator mi zabezpieczał :/ nie wiem parick czy to nie ty ;) bo kiedys mi cos takiego robiles ;] mam serwer z CJC...

 

no SSH mam na wysokim porcie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pobaw się też skryptami które blokują dostęp do maszyny adresom IP które próbują logować się na chama - jest tego trochę w necie, lub też prostych przykładów z paru linijek ;)

ot takie podstawy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

To na prawdę jest takie trudne?

 

Począwszy od wspomnianego APF: link

A w google wpiszmy minimum: attack on SSH

Chyba wystarczy by dalej zacząć już samemu szukać? ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Niby jakis administrator mi zabezpieczał :/ nie wiem parick czy to nie ty ;) bo kiedys mi cos takiego robiles ;] mam serwer z CJC...

 

no SSH mam na wysokim porcie.

 

Nie niby jakiś administrator tylko Patryk a nie Patrick - to dwie różne osoby.

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

więc takie pytanko...

 

Jak niby został zabezpieczony to czemu skanuje porty?

 

Pozdrawiam :)

 

Jeszcze pytanko do pana Adriana ;)

 

Czy instalacja APF jest trudna? Da się tym popsuć serwer? :/ Może macie dobra lektórę dla początkujących jak zainstalować co kolwiek na linuksie?

 

Mam serwer ponad ROK ale nie lubie sie nim bawić bo zazwyczaj wszystko psuje... :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
więc takie pytanko...

 

Jak niby został zabezpieczony to czemu skanuje porty?

Pytanie przesłane do kompetentnej osoby, która wykonywała usługę. Jeśli są pytania do nas proszę o kontakt bezpośredni ;)

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Czy instalacja APF jest trudna? Da się tym popsuć serwer? :/

Jeżeli kompletnie nie rozumiesz angielskiego w którym to napisane jest FAQ w podanym wyżej linku to za pewne można coś zepsuć.

Uprzedzając: nie używam APF.

 

Może macie dobra lektórę dla początkujących jak zainstalować co kolwiek na linuksie?
Albo zacznij używać google (przypuszczam, że nie raz czegoś szukałeś w google? :D ) albo po prostu zatrudnij kogoś do opieki nad serwerem.

 

Mam serwer ponad ROK ale nie lubie sie nim bawić bo zazwyczaj wszystko psuje... ;)
j.w. lub zmień zainteresowania.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Emil: Wyciagasz jakies dziwne wnioski. Nie wiem co ma wspolnego skanowanie portow Twojej maszyny z probami logowania sie na czyjes ssh, ktore moga byc dokonywane przez dwulinijkowy skrypt w cronie..

 

Na takim serwerze jak Twoj, ktory jest pelen userow nie da sie prowadzic supportu doraznie na zasadzie "zlece cos jak sie juz totalnie posypie a po adminie i tak poprawie na swoje". Potrzebna jest stala opieka i pewien nadzor.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Skoro ktoś skanuje porty z Twojego hosta (i Ty nic o tym nie wiesz) to należy się zastanowić czy nie uznać go za skompromitowanego i nie przeinstalować go od zera. To że kiedyś ktoś Ci coś zabezpieczył to nic nie znaczy. Bezpieczeństwo to nie produkt - to proces...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

serwer był przeinstalowany i zabezpieczany :D

 

A cron jest czyściutki ;)

 

Sprawdzałem Logi crona w DA i jest 0Kb jednak po zalogowaniu sie do SSh folder var/log/cron nie istnieje... :/

 

Gdzie zatem zapisują sime logi crona?

 

Dobra znalazlem plik jak syslog ale tak sobie przegladam to tylko jest datasq i sa nieudane logowania ale tylko do poczty...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrick

Ja myślę, iż taki support przez forum to Ci mało pomoże. Potrzebny Ci ktoś kto stale będzie nadzorował maszynę, co napisał z resztą mój imiennik.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Ja myślę, iż taki support przez forum to Ci mało pomoże. Potrzebny Ci ktoś kto stale będzie nadzorował maszynę, co napisał z resztą mój imiennik.

Tu masz rację - Patryk zna ten serwer, gdyż coś już przy nim robił.

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×