Постоянные атаки

B@F · 13 Октября 2011, 22:30

Добра всем.

Такое вро де бы не хитрое дело. Есть сервачек (прокся) это его главная и единственная задача, есть у него внешний статический адрес. (ну что ж надо им так пусть будет). Так вот как то раз я посмотрел на его логи и ужаснулся, там были откровенные попытки подбора паролей. Погуглил и поставил fail2ban. К этой програмке претензий нет, работает на ура, дело свое знает. Но косяк то остается:

Код [Выделить]

2011-10-02 06:25:21,335 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2011-10-02 06:25:22,384 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2011-10-02 06:25:40,411 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2011-10-03 02:01:50,628 fail2ban.actions: WARNING [ssh] Ban 195.138.88.78
2011-10-03 03:01:51,350 fail2ban.actions: WARNING [ssh] Unban 195.138.88.78
2011-10-03 12:58:32,159 fail2ban.actions: WARNING [ssh] Ban 212.174.217.16
2011-10-03 13:58:32,592 fail2ban.actions: WARNING [ssh] Unban 212.174.217.16
2011-10-03 18:25:14,022 fail2ban.actions: WARNING [ssh] Ban 59.5.100.202
2011-10-03 19:25:14,701 fail2ban.actions: WARNING [ssh] Unban 59.5.100.202
2011-10-04 02:04:23,713 fail2ban.actions: WARNING [ssh] Ban 31.28.119.245
2011-10-04 03:04:24,612 fail2ban.actions: WARNING [ssh] Unban 31.28.119.245
2011-10-04 22:21:50,732 fail2ban.actions: WARNING [ssh] Ban 220.247.245.88
2011-10-04 23:21:51,054 fail2ban.actions: WARNING [ssh] Unban 220.247.245.88
2011-10-05 04:32:59,631 fail2ban.actions: WARNING [ssh] Ban 114.80.162.58
2011-10-05 05:33:00,362 fail2ban.actions: WARNING [ssh] Unban 114.80.162.58
2011-10-07 01:32:25,639 fail2ban.actions: WARNING [ssh] Ban 140.125.240.197
2011-10-07 02:32:25,951 fail2ban.actions: WARNING [ssh] Unban 140.125.240.197
2011-10-07 15:45:06,343 fail2ban.actions: WARNING [ssh] Ban 61.111.18.25
2011-10-07 16:45:07,313 fail2ban.actions: WARNING [ssh] Unban 61.111.18.25
2011-10-07 22:13:26,110 fail2ban.actions: WARNING [ssh] Ban 77.79.11.82
2011-10-07 22:16:07,068 fail2ban.actions: WARNING [ssh] Ban 61.191.61.164
2011-10-07 23:13:26,424 fail2ban.actions: WARNING [ssh] Unban 77.79.11.82
2011-10-07 23:16:07,673 fail2ban.actions: WARNING [ssh] Unban 61.191.61.164
2011-10-08 05:39:47,195 fail2ban.actions: WARNING [ssh] Ban 77.79.11.82
2011-10-08 06:39:47,981 fail2ban.actions: WARNING [ssh] Unban 77.79.11.82
2011-10-08 15:21:29,196 fail2ban.actions: WARNING [ssh] Ban 74.82.57.172
2011-10-08 16:21:29,851 fail2ban.actions: WARNING [ssh] Unban 74.82.57.172
2011-10-08 21:36:30,157 fail2ban.actions: WARNING [ssh] Ban 178.162.239.192
2011-10-08 22:36:30,696 fail2ban.actions: WARNING [ssh] Unban 178.162.239.192
2011-10-09 05:34:32,010 fail2ban.actions: WARNING [ssh] Ban 216.75.2.88

2011-10-09 06:25:21,424 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4-SVN
2011-10-09 06:25:22,287 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2011-10-09 06:25:40,381 fail2ban.filter : INFO   Log rotation detected for /var/log/auth.log
2011-10-09 06:34:32,584 fail2ban.actions: WARNING [ssh] Unban 216.75.2.88
2011-10-09 18:16:41,497 fail2ban.actions: WARNING [ssh] Ban 60.160.183.66
2011-10-09 19:16:41,512 fail2ban.actions: WARNING [ssh] Unban 60.160.183.66
2011-10-09 21:28:15,300 fail2ban.actions: WARNING [ssh] Ban 210.112.125.99
2011-10-09 22:28:15,731 fail2ban.actions: WARNING [ssh] Unban 210.112.125.99
2011-10-10 02:36:20,313 fail2ban.actions: WARNING [ssh] Ban 61.236.182.11
2011-10-10 03:36:20,949 fail2ban.actions: WARNING [ssh] Unban 61.236.182.11
2011-10-10 05:06:08,395 fail2ban.actions: WARNING [ssh] Ban 218.25.131.128
2011-10-10 06:06:08,972 fail2ban.actions: WARNING [ssh] Unban 218.25.131.128
2011-10-10 09:29:20,474 fail2ban.actions: WARNING [ssh] Ban 173.0.62.195
2011-10-10 10:29:20,725 fail2ban.actions: WARNING [ssh] Unban 173.0.62.195
2011-10-10 11:24:09,516 fail2ban.actions: WARNING [ssh] Ban 85.187.182.201
2011-10-10 12:24:09,733 fail2ban.actions: WARNING [ssh] Unban 85.187.182.201
2011-10-11 05:25:47,637 fail2ban.actions: WARNING [ssh] Ban 67.133.102.54
2011-10-11 06:25:48,067 fail2ban.actions: WARNING [ssh] Unban 67.133.102.54
2011-10-11 18:58:46,134 fail2ban.actions: WARNING [ssh] Ban 80.93.49.184
2011-10-11 19:24:00,079 fail2ban.actions: WARNING [ssh] Ban 61.74.60.102
2011-10-11 19:58:46,698 fail2ban.actions: WARNING [ssh] Unban 80.93.49.184
2011-10-11 20:24:00,581 fail2ban.actions: WARNING [ssh] Unban 61.74.60.102
2011-10-11 21:42:51,448 fail2ban.actions: WARNING [ssh] Ban 213.141.128.33
2011-10-11 22:07:05,216 fail2ban.actions: WARNING [ssh] Ban 94.102.14.90
2011-10-11 22:42:51,892 fail2ban.actions: WARNING [ssh] Unban 213.141.128.33
2011-10-11 23:06:07,628 fail2ban.actions: WARNING [ssh] Ban 80.249.166.70
2011-10-11 23:07:05,754 fail2ban.actions: WARNING [ssh] Unban 94.102.14.90
2011-10-12 00:06:08,107 fail2ban.actions: WARNING [ssh] Unban 80.249.166.70
2011-10-12 08:34:36,298 fail2ban.actions: WARNING [ssh] Ban 184.154.64.177
2011-10-12 09:34:36,604 fail2ban.actions: WARNING [ssh] Unban 184.154.64.177
2011-10-12 14:55:01,799 fail2ban.actions: WARNING [ssh] Ban 222.82.245.146
2011-10-12 15:55:02,557 fail2ban.actions: WARNING [ssh] Unban 222.82.245.146
2011-10-13 17:10:56,170 fail2ban.actions: WARNING [ssh] Ban 41.249.255.142
2011-10-13 18:10:57,111 fail2ban.actions: WARNING [ssh] Unban 41.249.255.142

Ладно бы с одного адреса ломали, так нет же, прям массовая атака прет. Такая ситуация продолжается уже наверно пол года, с тех пор когда снес винду и поставил дебиан, но думаю и на винде так же было, т.к. она постоянно ломалась. Есть кардинальное решение этой проблемы?

Vicpo · 13 Октября 2011, 23:15

Повесь SSH на другой порт для начала, атака на 22 порт - обычное дело и делают это боты.

sotrud_nik · 14 Октября 2011, 17:27

Точно, порт смени

НаРазДва · 14 Октября 2011, 18:10

Соглашусь со всеми. меняй порт и запрети SSH'у пускать рута

B@F · 14 Октября 2011, 21:57

Порт сменил, а рут по умолчанию в дебиане на вход выключен. Но все равно зараза неприятно.

Vicpo · 14 Октября 2011, 22:23

Цитата: B@F от 14 Октября 2011, 21:57Но все равно зараза неприятно.

Селяви ))) Как говорится, враг не дремлет.

B@F · 17 Октября 2011, 23:08

А этих злыдней можно как-то прищучить? ну типа есть куда на них можно настучать. Я тут просто смотрю на разных серваках из разных диапазонов пулов светяца одни и теже адресочки.

НаРазДва · 18 Октября 2011, 09:34

Цитата: B@F от 17 Октября 2011, 23:08А этих злыдней можно как-то прищучить? ну типа есть куда на них можно настучать. Я тут просто смотрю на разных серваках из разных диапазонов пулов светяца одни и теже адресочки.

Определяешь сети с которых идут атаки и банишь их аксес-листами на маршрутизаторе, чтобы пакеты до серваков не доходили. Насчёт жалоб, как минимум, из мировой практики жалуются админу той сети откуда идут атаки. Но эти жалобы врят-ли что-то изменят. Нашим так же жаловаться бессмысленно пока что-то не взломали или инфу какую не украли.

Static · 06 Ноября 2011, 16:49

повесь ssh на 17892 порт а 22 заблоч. И мб тя атакует 1 чел даже просто проксю использует разную

B@F · 23 Ноября 2011, 07:19

Ну вот спустя время подвожу итоги. Изменил порт ssh, установил в fail2ban блокировать ip на 1 неделю, отправляю все неудачные попытки себе на почту. За все это время ни одной атаки на сервер по новому порту. Ну а сейчас планирую настройку аутенфикации по сертификату+пароль, но пока не могу до конца въехать как это реализовать на практике, т.к. периодически выхожу с разных компов по разным причинам и таскать с собой на флехе сертификат не запароленный да еще его постоянно копировать в глубины ос не представляется удобным. Пока думаю, что дальше.

Постоянные атаки

B@F

13 Октября 2011, 22:30 Последнее редактирование: 13 Октября 2011, 22:31 от B@F

Vicpo

13 Октября 2011, 23:15 #1

sotrud_nik

14 Октября 2011, 17:27 #2

НаРазДва

14 Октября 2011, 18:10 #3

B@F

14 Октября 2011, 21:57 #4

Vicpo

14 Октября 2011, 22:23 #5

B@F

17 Октября 2011, 23:08 #6

НаРазДва

18 Октября 2011, 09:34 #7

Static

06 Ноября 2011, 16:49 #8

B@F

23 Ноября 2011, 07:19 #9