Pam unix authentication failure ssh

внезапно: в мою дверь постучали

лог прочитал в /var/log/auth.log что это было ? там еще кучка айпишников + что-то не то с кроном . надо будет ковырнуть . пока что разрешен только исходящий трафик (перекрыл входящий в связи с последними событиями) . у кого еще завелась такая вот «паранойа» или зараза ? что нужно делать , чтобы избежать этого ?

Перекрыть доступ со всех китайских айпишников, в последнее время через китайские прокси лазит хрен знает кто.

Поставить и настроить fail2ban

И да, вместо DROP осилить TARPIT — так веселее 🙂

я уже плохо спать начал . чего им надо от простых смертных ?

вечерком разберусь . спасибо за инфу .

Стандартно — не пускай рута, ключ вместо пароля и нестандартный порт для ssh. От подобных китайцев защитит 100%.

P.S. Лол, понилюбам бояться

Apr 17 00:03:29 ns sshd[12048]: Invalid user fluffy from 60.249.78.253
Apr 17 00:03:29 ns sshd[12048]: input_userauth_request: invalid user fluffy [preauth]

P.P.S. Да, я не стал порт менять, забавно же.

ясно . китайцы , как выяснилось , нам не друзья .

Святая наивность, их плотность больше по шарику, а чудоков на букву М по всему миру одинакого.

поддерживаю redgremlin: «PermitRootLogin no» и «Port » в sshd_config

сделано с корень разрешения войти . а которой из 65535 портов указывать ? для перебора это не так уж и много .

китайцы , как выяснилось , нам не друзья

Ты думаешь так, как того хотят те, кто лазет под китайскими IPшниками. 😉

ок . буду иметь в_виду 🙂

А еще и AllowUsers до кучи 🙂

Пофигу, боты не перебирают.

а которой из 65535 портов указывать ? для перебора это не так уж и много

У меня была такая же проблема, как у тебя (постоянно кто-то ломился). Изменил порт на другой — и тишина. 🙂

В припадке паранойи я когда-то сделал вход только для гостевого пользователя (бесправного), от которого потом делал su к своему пользователю (с поддержкой X-forwarding’а), но потом понял, что мой localhost нафиг никому не нужен, и забил 🙂

Ну коль уж полезли править /etc/sshd_config то как говорится одним параметром больше, одним меньше — не так уж сложно прописать:

Это дополнит уверенность в безопасности ssh и укрепит сон 🙂

всем спасибо , ребята . пошел чинить .

Ну, если аутентификацию по ключу настроить, то фейлтубан не нужен. И порт можно не перевешивать (хотя, большинство бототы данный шаг отсечёт, так как они тупые).

Это за три недели работы VDS, используемой для собственных нужд.

ясно . китайцы , как выяснилось , нам не друзья .

у русских ботнетов не меньше. Просто на Руси компьютеров с интернетом меньше, только в Москве и Питере. В остальных городах пока интернета нет(массово).

А разгадка проста: безусловно бесплатное ПО.

Святая наивность, их плотность больше по шарику, а чудоков на букву М по всему миру одинакого.

а как ещё использовать фотошоп, тем, у кого нет лишних 41 152,47 руб. .

1. смени порт на рандом 1024..65534

2. сделай доступ ТОЛЬКО по ключу.

3. дальше можешь на ЛОРе весилится над школьниками, которые не осилили этих двух простых действий, и пытаются забанить весь Китай.

Очнитесь. В SSH на 22 порту ломятся до 3000 раз в сутки.

Либо поменяйте порт на нестандартный, либо ставьте knockd.

Ничего, что при обновлении SSHD, пользователь компа может успеть занять непривилегированный порт?

Вы могли бы сами воспользоваться своей же рекомендацией . проблема решена over9000 дней назад простым выпиливанием рута и 10-ти часовым баном за разовую ошибку при вводе пароля/логина .

Отказ от парольной защиты не помогает? Пусть ломятся, а мы будем ходить по ключу. Еще и руту логин по ссш запретить и точно железобетон.

Ну разве ж это «постучали»? Скорее потерли замочную скважину 🙂

Читайте также:  Hp deskjet 1050 можно ли заправить картридж

Помнится была для SSH некая прога, которая давала войти боту, записывая при этом все его действия в лог, а на попытки деструктивной активности выдавала чтото типа «Ха-ха-ха . вас пустили чтобы записать ваши действия в журнал и не надо злоупотреблять гостеприимством». Ктото помнит как она называлась и может ктото реально юзал?

А есть опыт использования? Интересно!

Можно проверить занят ли порт, сделав grep $port /etc/services.

Точно! не лишайте ботов надежды!

руту отключить логин по ssh! только ключ с парольной фразой к тому же, а то вдруг потеряем ключ то. 😉 и пусть ломятся

Ты бы ещё апач наружу поднял и потом над записями в access.log стал удивляться.

на другой порт ssh перевесь, боты тупые, на другие порты не стучатся

Просто на Руси компьютеров с интернетом меньше, только в Москве и Питере.

Я что-то пропустил, украинские военные уже зашли в Москву?

внезапно: в мою дверь постучали

Главное не паниковать и не прыгать в окно. Возможно пришли проконсультироваться и спонсировать.

Сколько месяцев ты придумывал эту шутку?

Сколько месяцев ты придумывал эту шутку?

Ну, если аутентификацию по ключу настроить, то фейлтубан не нужен.

Я бы подзатыльник дал на месте хостера/провайдера/разное. Если ты этого бота не отрубишь, он:
а) создаст нагрузку на сервер;
б) создаст ненужный трафик.

Мало ? Согласен. А, теперь, умножь на 1000. Или на 1000000. Прикольнее смотрится ? Пара-тройка сотен ботов, работающих одновременно, заметно мешают серверу. С трафиком чуть проще, но это, тоже, только вопрос количества, как не сложно догадаться. Нет, можно сказать, пусть провайдер разбирается, но это как-то несовсем грамотно.

давно не некропостили, чё

И как провайдер определяет, нужный трафик или нет?

Какое провайдеру дело, кто и как ходит ко мне на впс, если я не нарушаю условия договора?

Клиент денежку заплатил, и пока не стал лимиты превышать, какое дело провайдеру до его трафика? Клиент превысил лимиты, давай переходи на другой тарифный план, или оплачивай потребление дополнительных ресурсов сверх тарифа, как удобней.

Я бы подзатыльник дал на месте хостера/провайдера/разное

Если бы мне провайдер написал что-нибудь в духе: «ой, вам на 22 порт долбится „ненужный трафик“, вам столько-то времени на устранение проблемы или мы вам отрубим что-нибудь нафик», то я бы начал не «проблему» устранять, а переносить данные к нормальному провайдеру serious business

а переносить данные к нормальному провайдеру

Это очень хорошо для провайдера, от которого уходит такой деятель, и очень плохо для того, к которому приходит. Поверь, помашут счастливо ручкой.

Если ты там не вип с оплатой $1000/мес; копеечные пользователи, если имеют такой подход, не нужны. 🙂

Какой то у тебя совковый подход. Если провайдер дает мне линк с гарантированной шириной канала и определенным количеством трафика, то не его собачье дело, как я его буду тратить.

И ты преувеличиваешь о нагрузке и трафике.

Если провайдер дает мне линк с гарантированной шириной канала

Это или сказка, или таки серьёзный тариф. Гарантированной ширины за смешные деньги просто в принципе не бывает. Там обязательно написано «до». Просто прикинь цену оборудования, каналов и т.п., чтобы обеспечить _гарантированно_, скажем, 100м. По факту, это надо рассчитывать, что все твои пользователи начнут потреблять трафик одновременно, только в этом случае можно вести речь о гарантиях. Все остальные варианты требуют оговорок. По-этому, смешно читать о стомегабитных гарантиях, если пользователей, скажем, под сотню тысяч, а канал — 10GbE, скажем.

И ты преувеличиваешь о нагрузке и трафике.

Нет. Просто померяй и умножь. В принципе, до заметных проблем с трафиком я не доводил, а вот на рабочей станции с реальным IP и без f2b/-j DROP/разное некомфортно работать уже когда по тебе десяток ботов стучит. На себе проверял (рабочая станция с реальным IP). Celeron 3.20GHz.

Читайте также:  How to install virtualbox on oracle linux

Зато правда. Потре..ляди не нужны. Впрочем, это уже для толксов тема, не думаю, что стоит продолжать тут.

Источник

Как закрыть досуп горе хакерам?

Добрый день!
Недавно заметил такое чудо в /var/log/secure

наскольео я понимаю, это какой-то чудак пытается подобрать доступ по бруту. Как можно отсекать таких умельцев?

P.S. я не очень хороший админ, поэтому буду благодарен за развернутый ответ

  • Вопрос задан более трёх лет назад
  • 6074 просмотра

смена порта + ключ , обычно достаточно

если очень хочется — двухфакторная аутентификация

если еще сильнее — knock knock

Современным ботам, пофигу на нестандартный порт.

Для тех кто все еще сомневается.

Feb 9 05:38:25 vyatta sshd[31650]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:38:29 vyatta sshd[31652]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:38:47 vyatta sshd[31654]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:38:51 vyatta sshd[31656]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:38:55 vyatta sshd[31658]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:39:14 vyatta sshd[31660]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:39:18 vyatta sshd[31662]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:39:22 vyatta sshd[31664]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:39:41 vyatta sshd[31666]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:40:40 vyatta sshd[31682]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:40:59 vyatta sshd[31684]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:02 vyatta sshd[31686]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:06 vyatta sshd[31688]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:25 vyatta sshd[31690]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:28 vyatta sshd[31692]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 05:41:32 vyatta sshd[31694]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.10.51.49 user=root
Feb 9 08:05:20 vyatta pptpd[31792]: CTRL: EOF or bad error reading ctrl packet length.
Feb 9 08:05:20 vyatta pptpd[31792]: CTRL: couldn’t read packet header (exit)
Feb 9 08:05:20 vyatta pptpd[31792]: CTRL: CTRL read failed
Feb 9 11:50:19 vyatta sshd[31830]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:50:31 vyatta sshd[31830]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:50:31 vyatta sshd[31830]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:51:24 vyatta sshd[31848]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:51:35 vyatta sshd[31848]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:51:35 vyatta sshd[31848]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:54:32 vyatta sshd[31900]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:54:44 vyatta sshd[31900]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:54:44 vyatta sshd[31900]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:55:54 vyatta sshd[31922]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:56:05 vyatta sshd[31922]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:56:05 vyatta sshd[31922]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:56:18 vyatta sshd[31927]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:56:30 vyatta sshd[31927]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:56:30 vyatta sshd[31927]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:57:30 vyatta sshd[31946]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:57:41 vyatta sshd[31946]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 11:57:41 vyatta sshd[31946]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 11:59:55 vyatta sshd[31986]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 12:00:06 vyatta sshd[31986]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 12:00:06 vyatta sshd[31986]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 12:02:13 vyatta sshd[32025]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 12:02:24 vyatta sshd[32025]: PAM 4 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.10.124 user=root
Feb 9 12:02:24 vyatta sshd[32025]: PAM service(sshd) ignoring max retries; 5 > 3
Feb 9 13:50:12 vyatta pptpd[32103]: CTRL: EOF or bad error reading ctrl packet length.
Feb 9 13:50:12 vyatta pptpd[32103]: CTRL: couldn’t read packet header (exit)
Feb 9 13:50:12 vyatta pptpd[32103]: CTRL: CTRL read failed
Feb 10 12:46:32 vyatta sshd[32345]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:46:39 vyatta sshd[32348]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:47:00 vyatta sshd[32350]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:47:20 vyatta sshd[32352]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:47:27 vyatta sshd[32354]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:47:51 vyatta sshd[32356]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:03 vyatta sshd[32358]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:15 vyatta sshd[32360]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:44 vyatta sshd[32362]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:51 vyatta sshd[32364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:48:58 vyatta sshd[32366]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:49:18 vyatta sshd[32368]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:49:27 vyatta sshd[32370]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 10 12:49:31 vyatta sshd[32372]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.186.15.235 user=root
Feb 11 08:28:57 vyatta pptpd[32594]: CTRL: EOF or bad error reading ctrl packet length.
Feb 11 08:28:57 vyatta pptpd[32594]: CTRL: couldn’t read packet header (exit)
Feb 11 08:28:57 vyatta pptpd[32594]: CTRL: CTRL read failed
Feb 11 14:13:46 vyatta pptpd[32626]: CTRL: EOF or bad error reading ctrl packet length.
Feb 11 14:13:46 vyatta pptpd[32626]: CTRL: couldn’t read packet header (exit)
Feb 11 14:13:46 vyatta pptpd[32626]: CTRL: CTRL read failed
Feb 11 14:49:17 vyatta pptpd[32633]: CTRL: EOF or bad error reading ctrl packet length.
Feb 11 14:49:17 vyatta pptpd[32633]: CTRL: couldn’t read packet header (exit)
Feb 11 14:49:17 vyatta pptpd[32633]: CTRL: CTRL read failed
Feb 13 08:37:59 vyatta sshd[984]: warning: can’t get client address: Connection reset by peer
Feb 13 09:39:11 vyatta pptpd[1039]: CTRL: EOF or bad error reading ctrl packet length.
Feb 13 09:39:11 vyatta pptpd[1039]: CTRL: couldn’t read packet header (exit)
Feb 13 09:39:11 vyatta pptpd[1039]: CTRL: CTRL read failed
Feb 13 14:45:25 vyatta sshd[1071]: pam_unix(sshd:auth): check pass; user unknown
Feb 13 14:45:25 vyatta sshd[1071]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.57.72.114
Feb 13 14:45:31 vyatta sshd[1073]: pam_unix(sshd:auth): check pass; user unknown
Feb 13 14:45:31 vyatta sshd[1073]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.57.72.114
Feb 13 14:45:35 vyatta sshd[1076]: pam_unix(sshd:auth): check pass; user unknown
Feb 13 14:45:35 vyatta sshd[1076]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.57.72.114
Feb 13 14:45:40 vyatta sshd[1078]: pam_unix(sshd:auth): check pass; user unknown
Feb 13 14:45:40 vyatta sshd[1078]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.57.72.114

Читайте также:  Joomla это html или php

Источник

Поделиться с друзьями
КомпСовет
Adblock
detector