The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"кто-то лезет по ssh"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"кто-то лезет по ssh"  
Сообщение от Jan email(??) on 15-Мрт-06, 17:28 
Всем привет!
След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я понимаю, можно только физически отключить комп на ночь - ведь хоть данному хакеру не удается сломать пароль рута, но пакеты-то он шлет, поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли такой бешеный рост трафика при переборе паролей по ssh при приличном количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "кто-то лезет по ssh"  
Сообщение от Император on 15-Мрт-06, 17:36 
>Всем привет!
>След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей
>на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я
>понимаю, можно только физически отключить комп на ночь - ведь хоть
>данному хакеру не удается сломать пароль рута, но пакеты-то он шлет,
>поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по
>какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли
>такой бешеный рост трафика при переборе паролей по ssh при приличном
>количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!


Ну не думаю, что траффик огромен да и не один ты такой кого постоянно перебирают. Как вариант пересади ssh на порт выше.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "кто-то лезет по ssh"  
Сообщение от Jan email(??) on 15-Мрт-06, 17:45 
>Ну не думаю, что траффик огромен да и не один ты такой
>кого постоянно перебирают. Как вариант пересади ssh на порт выше.

А если перебирать очень быстро? С нехилой скоростью? Или, предположим, ssh не может так поднять траффик. ФТП отключен, сайт, ДНС - тоже. Все вырублено нафиг. Но трафик растет каждую ночь, как грибы. Где искать, какой сервис может так поднять инкаминг-трафик?? Только не говорите, что у меня сервак ночью сам себе порнуху гигами качает. Кто сталкивался с такой проблемой, куда смотреть, где копать??

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "кто-то лезет по ssh"  
Сообщение от Den (??) on 16-Мрт-06, 02:32 
В sshd_config пропиши:
AllowUsers den@112.112.34.10  и спи спокойно
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "кто-то лезет по ssh"  
Сообщение от onorua (??) on 16-Мрт-06, 06:49 
>>Ну не думаю, что траффик огромен да и не один ты такой
>>кого постоянно перебирают. Как вариант пересади ssh на порт выше.
>
>А если перебирать очень быстро? С нехилой скоростью? Или, предположим, ssh не
>может так поднять траффик. ФТП отключен, сайт, ДНС - тоже. Все
>вырублено нафиг. Но трафик растет каждую ночь, как грибы. Где искать,
>какой сервис может так поднять инкаминг-трафик?? Только не говорите, что у
>меня сервак ночью сам себе порнуху гигами качает. Кто сталкивался с
>такой проблемой, куда смотреть, где копать??

Я однажды тестил конфигурацию апача на секьюрность. За 2 скана сожрало 20 метров. Так что думаю что это может быть... но... поищи в торону скриптов, которые лочат на уровне фаервола, если был запрос по неправильному логину или на рута. Я такой видел на перле. Вот не помню где.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "кто-то лезет по ssh"  
Сообщение от satelit on 16-Мрт-06, 07:08 
>Всем привет!
>След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей
>на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я
>понимаю, можно только физически отключить комп на ночь - ведь хоть
>данному хакеру не удается сломать пароль рута, но пакеты-то он шлет,
>поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по
>какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли
>такой бешеный рост трафика при переборе паролей по ssh при приличном
>количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!

Если надо решить проблему локально, чисто саша, то перевесить на дркгой порт и правка sshd_config, если глобально, т.е. все подобные подключения и сканы на все порты и сервисы, то тогда SNORT или PORTSENTRY, какой больше вам подходит.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "кто-то лезет по ssh"  
Сообщение от Jan email(??) on 16-Мрт-06, 07:53 
>Если надо решить проблему локально, чисто саша, то перевесить на дркгой порт
>и правка sshd_config, если глобально, т.е. все подобные подключения и сканы
>на все порты и сервисы, то тогда SNORT или PORTSENTRY, какой
>больше вам подходит.

Насчет portsentry - прога спасет при переборе паролей? Ведь сканирования нет, идет просто перебор...вот в чем фишка

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "кто-то лезет по ssh"  
Сообщение от satelit on 16-Мрт-06, 08:52 
>Насчет portsentry - прога спасет при переборе паролей? Ведь сканирования нет, идет
>просто перебор...вот в чем фишка

1) перевесить на другой порт
2) ограничить количество подключений в 1 подключение в секунду, быстрее ты всеравно не сможешь руками сделать.
3) разрешить на подключение только свои подсети, ну или на крайний случай сети своего города или того прова с которого ты будешь заходить на сервак снаружи.
4) SNORT PORTSENTRY не помню какой точно, у них разное назначение, но он может отслеживать подключения и перебор паролей.
5) выставить задержку при авторизации в 1 сек (если не ошибаюсь это pam_passwd, его использует саша для авторизации по /etc/passwd).

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "кто-то лезет по ssh"  
Сообщение от Дениска (ok) on 16-Мрт-06, 08:57 
сомнительно, честно говоря, чтобы гигами трафик рос при переборе паролей по ssh.
Повесь на тазик считалку трафика - (хоть ipfw логируй ВСЕ каким нить правилом). Утром посмотришь, откуда ноги у твоего трафика растут.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "кто-то лезет по ssh"  
Сообщение от mobilepost email on 16-Мрт-06, 18:26 
>5) выставить задержку при авторизации в 1 сек (если не ошибаюсь это
>pam_passwd, его использует саша для авторизации по /etc/passwd).

Извините за тупость....
Можно поподробней еще раз?
Как выставить задержку при авторизации?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "кто-то лезет по ssh"  
Сообщение от John (??) on 16-Мрт-06, 09:12 
>Всем привет!
>След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей
>на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я
>понимаю, можно только физически отключить комп на ночь - ведь хоть
>данному хакеру не удается сломать пароль рута, но пакеты-то он шлет,
>поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по
>какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли
>такой бешеный рост трафика при переборе паролей по ssh при приличном
>количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!


Вставлю свои 5 копеек:
http://www.debian-administration.org/articles/268
также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "кто-то лезет по ssh"  
Сообщение от Jan email(??) on 16-Мрт-06, 10:33 
>Вставлю свои 5 копеек:
>http://www.debian-administration.org/articles/268
>также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.

Всем спасибо! Еще один вопрос: что значит след. запись в /var/log/secure

Mar 15 10:29:57 firma_server xinetd[3078]: START: auth pid = 8016 from 111.222.333.444

Ипишник левый какой-то... Что именно xinetd делает с этим ИП?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "кто-то лезет по ssh"  
Сообщение от John (??) on 16-Мрт-06, 12:05 
>>Вставлю свои 5 копеек:
>>http://www.debian-administration.org/articles/268
>>также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.
>
>Всем спасибо! Еще один вопрос: что значит след. запись в /var/log/secure
>
>Mar 15 10:29:57 firma_server xinetd[3078]: START: auth pid = 8016 from 111.222.333.444
>
>
>Ипишник левый какой-то... Что именно xinetd делает с этим ИП?


Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов. Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса через xinetd. Файлы, содержащие disable = yes - сервис не запускается. man xinetd.conf

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "кто-то лезет по ssh"  
Сообщение от Jan email(??) on 16-Мрт-06, 12:47 
>Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов.
>Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса
>через xinetd. Файлы, содержащие disable = yes - сервис не запускается.
>man xinetd.conf

Угу нашел такой спасибо! И еще, что значит^
device eth0 entered promiscuous mode
??

Что это за режим такой?


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "кто-то лезет по ssh"  
Сообщение от satelit on 16-Мрт-06, 12:51 
>>Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов.
>>Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса
>>через xinetd. Файлы, содержащие disable = yes - сервис не запускается.
>>man xinetd.conf
>
>Угу нашел такой спасибо! И еще, что значит^
>device eth0 entered promiscuous mode
>??
>
>Что это за режим такой?


Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на наличие всяких интересностей.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "кто-то лезет по ssh"  
Сообщение от Jan email(??) on 16-Мрт-06, 13:11 
>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на
>наличие всяких интересностей.

Да ты лучше просто скажи, что такое этот promiscous mode !


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "кто-то лезет по ssh"  
Сообщение от John (??) on 16-Мрт-06, 13:13 
>>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на
>>наличие всяких интересностей.
>
>Да ты лучше просто скажи, что такое этот promiscous mode !


Прием на интерфейсе всех приходящих пакетов, независимо от адреса получателя.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "кто-то лезет по ssh"  
Сообщение от Jan email(??) on 16-Мрт-06, 17:54 
Господа, еще вопрос: если отказаться платить за превышенный трафик (потому как была де-факто атака). Если будет суд, кто его выиграет?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "кто-то лезет по ssh"  
Сообщение от _KAV_ (ok) on 16-Мрт-06, 18:01 
>Господа, еще вопрос: если отказаться платить за превышенный трафик (потому как была
>де-факто атака). Если будет суд, кто его выиграет?
Провайдер. Максимум - пытаться повесить счет на того, кто поломал, но суметь найти и доказать в суде....
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "кто-то лезет по ssh"  
Сообщение от Император on 16-Мрт-06, 18:21 
>>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на
>>наличие всяких интересностей.
>
>Да ты лучше просто скажи, что такое этот promiscous mode !


Интерфейс прослушивается.
Вот отсюда и траффик хулиганы Ленку Беркову походу качают! :)
Tcpdump не запускал? хотя если не занешь что такое promiscous mode значит не пущал.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру