[vpsFree.cz: community-list] Brute-force utok na SSH

Peter Šufliarsky sufliarskyp at gmail.com
Fri Jul 17 20:23:02 CEST 2015 

Tiez nie je od veci zakazat prihlasenie roota v sshd. Nekonecnym pokusom o
prihlasenie to sice nezabrani, ale moze to zachranit ludi, ktori si tych
botov vsimnu az po dlhsej dobe...ako napriklad ja.

Vdaka za tuto diskusiu. Bez nej by mi tie spiny este asi dlho nespozorovane
sypali login requesty.

Peter
 On Jul 17, 2015 5:56 PM, "Jirka Bourek" <vpsfree-list at keroub.cz> wrote:

> Přesun SSH na jiný port není _bezpečnostní_ opatření. Bezpečnostní
> opatření jsou třeba silná hesla nebo (dá-li se použít) zakázané používání
> hesel apod. Když si někdo vyhlédne konkrétní server, přesun na jiný port
> ničemu nepomůže, protože útočník si ten port najde.
>
> Přesun na jiný port zabrání falešným poplachům, zbytečnému vytěžování
> stroje a plnění logů, to ano. Ale nazývat to bezpečnostním opatřením, to
> akorát nahrává tomu, že někdo méně zkušený změní port a bude v klidu, i
> když má rootovské heslo toor.
>
> Jindřich Sadílek wrote:
>
>> Od přesunutí SSH na nestandardní port prakticky všechny pokusy zmizely.
>> Je to podle mne #1 bezpečnostní opatření, kterým začínám na jakékoli
>> nové mašine.
>>
>> JS
>>
>>
>> Dne Pá, 17. červenec 2015 v 16:22 h uživatel Jan Daniel Doležal napsal:
>>
>>> No taky přispěju,
>>>
>>> mám SSH na nestandartním portu (pod 1000), tím se vyřešila většina
>>> tipovačů na mých cca 6 strojích. Nevidím v tom ideový problém.
>>> Fail2ban mi haproval (zakazoval mě z firemní sítě) a místo řešení proč
>>> jsem zvolil taktiku přihlašování přes klíče, ale povolená hesla (pro
>>> jistotu), ale dlouhá a uložená v keepass kdyby něco.
>>>
>>> Dan
>>>
>>> pá 17. 7. 2015 v 16:01 odesílatel Jan B. <janbivoj.kolar at zazen-
>>> nudu.cz> napsal:
>>>
>>>> Dovolím si sepsat moje zkušenosti:
>>>>
>>>>
>>>>  K serveru mám přístup pouze já (nebo mnou spravované stroje), takže od
>>
>>>
>>>>  začátku používám ověření klíčem a ověření hesla mám zakázané. Přesto se
>>
>>>
>>>>  každý den pokoušel někdo připojit - ti inteligentnější boti toho
>> nechali
>>
>>>
>>>>  po pár pokusech, ti horší to zkoušeli i několik hodin.
>>
>>>
>>>>
>>>>  Jak psal Standa, povolil jsem si SSH jen z "mých" adres (všude mám
>> pevné
>>
>>>
>>>>  IP adresy). Po nějakém čase jsem na to však zapomněl a tak když jsem
>>
>>>
>>>>  přecházel od O2 k Vodafonu, adresy se změnily a musela mě zachránit
>>
>>>
>>>>  konzole z VPSadminu :-D
>>
>>>
>>>>
>>>>  Po této zkušenosti jsem se tedy rozhodl nechat přístup na SSH pro
>>
>>>
>>>>  všechny a nasadit fail2ban. Měl jsem nastavené 3 úrovně - ban na 10
>>
>>>
>>>>  minut, ban na 1 hodinu a ban na 24 hodin (vždy po několika špatných
>>
>>>
>>>>  pokusech, myslím deseti). I přesto ale "útoky" stále pokračovaly,
>>
>>>
>>>>  dokonce to některé banované adresy po 24 hodinách zkoušeli znovu.
>>
>>>
>>>>
>>>>  Jelikož mi chodí výpis z logwatchu a tam mě dlouhé záznamy o útocích
>>
>>>
>>>>  obtěžovali (použil bych lepší výraz, ale debata o vyjadřování v
>>
>>>
>>>>  konferenci tu už proběhla), tak jsem se rozhodl přehodit SSH na jiný
>>
>>>
>>>>  port. A světe div se, od té doby ani jeden jediný pokus o přihlášení!
>>
>>>
>>>>
>>>>  Z mé strany tedy můžu změnu SSH portu jen doporučit.
>>
>>>
>>>>
>>>>
>>>>  Stanislav Petr píše v Pá 17. 07. 2015 v 15:27 +0200:
>>
>>>
>>>>  Přesunutí portu určitě funguje. Jinak než blacklisty je lepší povolit
>>> SSH jen z IP adres ze kterých se pripojuješ (pokud je to možné) nebo
>>> alespoň povolit všechny IP bloky svého ISP. Co se týká vypnutí
>>> autorizace heslem, tak tam stejně zůstavá problém s tím že spousta
>>> botů i na SSH server který akceptuje jen klíče stejně zkouší hesla a
>>> akorát tím zabíjejí CPU.
>>>
>>>>
>>>>
>>>
>>>>  A pokud si chcete hrát, tak můžete SSH schovat jeste za port-koncking.
>>>
>>>>
>>>>
>>>
>>>>  Odesláno z iPhonu
>>>
>>>>
>>>>
>>>
>>>>  17. 7. 2015 v 14:53, Pavel Snajdr <snajpa at snajpa.net>:
>>>
>>>>
>>>>
>>>
>>>> Ahoj,
>>>>
>>>>
>>>>
>>>> paradoxne presne prave to reseni, ktere toho podle tebe neresi moc
>>>> je presne to nejucinnejsi, co na tenhle problem existuje. Je uplne
>>>> zbytecne plnit nejake blacklisty cinskymi a ukrajinskymi IP, ktere
>>>> se ani nepbtezuji to zkouset jinde nez na 22 tcp, nebo nedejboze
>>>> jeste 1022.
>>>>
>>>>
>>>>
>>>> Netusim, kde se bere ten vseobecne uznavany nazor, ze odsunuti portu
>>>> ssh jinam je srabarna, nic neresi, nebo ze to neni ani trochu
>>>> zabezpecovani.
>>>>
>>>>
>>>>
>>>> /snajpa
>>>>
>>>>
>>>>
>>>> Sent from your iPad
>>>>
>>>>
>>>>
>>>>  On 16 Jul 2015, at 21:07, Lukáš Šembera <semberal at gmail.com> wrote:
>>>>>
>>>>
>>>>
>>>>>
>>>>  Ahoj,
>>>>>
>>>>
>>>>
>>>>>
>>>>  chtel jsem se zeptat, jak se vyporadavate s automatizovanymi brute
>>>>> force utoky na SSH. Dnes jsem si po loginu vsiml na me CentOS7
>>>>> instanci varovani, ze od posledniho uspesneho prihlaseni probehlo
>>>>> desitek set pokusu o pristup na SSH pomoci hesla. To me zarazilo,
>>>>> podival jsem se do logu a nasledovalo zdeseni:
>>>>>
>>>>
>>>>
>>>>>
>>>>  [root at home ~]# cat /var/log/secure | grep Failed | wc -l
>>>>>
>>>>
>>>>  21302
>>>>>
>>>>
>>>>
>>>>>
>>>>  Coz je hodnote pouze za dnesek! Cetl jsem, ze se vesmes doporucuje
>>>>> zmenit SSH port (coz IMO nic neresi) v kombinaci s blokaci pomoci
>>>>> DenyHosts, fail2ban apod.
>>>>>
>>>>
>>>>
>>>>>
>>>>  Jsem v administraci serveru zacatecnik, tak by me zajimaly vase
>>>>> nazory, jak se s timto vyporadavate vy. Predem diky!
>>>>>
>>>>
>>>>
>>>>>
>>>>  S pozdravem
>>>>>
>>>>
>>>>  Lukas Sembera
>>>>>
>>>>
>>>>  _______________________________________________
>>>>>
>>>>
>>>>  Community-list mailing list
>>>>>
>>>>
>>>>  Community-list at lists.vpsfree.cz
>>>>>
>>>>
>>>>  http://lists.vpsfree.cz/listinfo/community-list
>>>>>
>>>>
>>>> _______________________________________________
>>>>
>>>> Community-list mailing list
>>>>
>>>> Community-list at lists.vpsfree.cz
>>>>
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>>  _______________________________________________
>>>
>>>>
>>>>  Community-list mailing list
>>>
>>>>
>>>>  Community-list at lists.vpsfree.cz
>>>
>>>>
>>>>  http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>>
>>>>
>>>>  _______________________________________________
>>
>>>
>>>>  Community-list mailing list
>>
>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>> _________________________________________________
>>> Community-list mailing list Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>  _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20150717/cd0967c7/attachment-0002.html>

More information about the Community-list mailing list