Отправляет email-рассылки с помощью сервиса Sendsay

[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD

Подписаться Бесплатный дискуссионный лист Подписчиков 787
  Январь 2007  
 1
 2
 3
03.01.2007
12:50:14
17:27:16
 4
 5
 6
 7
 8
 9
10
11
11.01.2007
09:45:23
21:42:56
12
12.01.2007
07:59:10
08:13:23
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт листа: http://www.linuxrsp.ru
Открыт: 04-03-2004
Пре-модерация: Нет
Адрес для писем в лист: comp.soft.bsd.all-list@subscribe.ru
Адрес модератора: comp.soft.bsd.all-owner@subscribe.ru

Модератор
Фёдор Сорекс

Статистика

787 подписчиков
0 за неделю

Подскажите как с этим боротся?

Доброго всем дня! И с наступающим Новым Годом!
Уважаемые эксперты подскажите как с этим боротся? Кто-то лезит по sshd...на
сервер, айпишники всегда меняет...
+++ /tmp/security.NWTw1v4L Sun Dec 31 03:01:17 2006 login failures:
Dec 30 03:49:12 ## sshd[21116]: warning: /etc/hosts.allow, line 40: can't verify
hostname: getaddrinfo(212.199.79.215.static.012.net.il, AF_INET) failed
Dec 30 03:49:12 ## sshd[21117]: warning: /etc/hosts.allow, line 40: can't verify
hostname: getaddrinfo(212.199.79.215.static.012.net.il, AF_INET) failed
Dec 30 03:49:12 ## sshd[21115]: warning: /etc/hosts.allow, line 40: can't verify
hostname: getaddrinfo(212.199.79.215.static.012.net.il, AF_INET) failed
Dec 30 04:00:13 ## sshd[21156]: warning: /etc/hosts.allow, line 40: can't verify
hostname: getaddrinfo(212.199.79.215.static.012.net.il, AF_INET) failed
Dec 30 04:00:18 ## sshd[21157]: reverse mapping checking getaddrinfo for 212.199.79.215.static.012.net.il
failed - POSSIBLE BREAKIN ATTEMPT!
после идёт подбор,,,
Dec 30 07:55:24 ## su: BAD SU and to root on /dev/ttyp0
Dec 30 11:35:55 ## sshd[23480]: Invalid user delta from 212.61.136.184
Dec 30 11:36:02 ## sshd[23484]: Invalid user admin from 212.61.136.184
Dec 30 11:36:03 ## sshd[23486]: Invalid user delta from 212.61.136.184
Dec 30 12:04:38 ## sshd[23566]: Invalid user delta from 212.61.136.184
Dec 30 12:19:58 ## sshd[23603]: Invalid user delta from 212.61.136.184
Dec 30 12:19:58 ## sshd[23605]: Invalid user delta from 212.61.136.184
Dec 30 12:20:00 ## sshd[23607]: Invalid user delta from 212.61.136.184
Dec 30 12:20:06 ## sshd[23613]: Invalid user admin from 212.61.136.184
Dec 30 12:20:08 ## sshd[23615]: Invalid user admin from 212.61.136.184
#### и НА ftpd
Dec 30 13:22:35 ## inetd[25174]: refused connection from 203.77.119.93, service
ftpd (tcp)
Dec 30 14:41:31 ## inetd[25414]: refused connection from 216.117.158.165, service
ftpd (tcp)

В etc/host.allow... line 40= записано вот что- (ALL : localhost 127.0.0.1 : allow)
это запись из host.allow
# Allow anything from localhost. Note that an IP address (not a host
# name) *MUST* be specified for rpcbind(8).
ALL : localhost 127.0.0.1 : allow
#ALL : 193.108.227.249/255.255.255.255 : allow
#ALL : 195.245.200.5/255.255.255.255 : allow
Это сервер под управлением Фрюхи6.1 релиз, на нем крутится squid,sendmail,ftp...
что сделать что бы обезопасить себя? Подскажите новичьку!
Всех с наступающим НГ!Заранее блогодарю!

-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3083; Возраст листа: 1033; Участников: 931
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/625868

Ответить  
Андрей К
Sun, 31 Dec 2006 10:37:13 +0300 (#625868)

 

Ответы:

И с наступившим, ага.

например так:

/usr/bin/killall sshd
/usb/sbin/sshd -p 2

и в файрволле правила чутка подправить...

обычно после этого всякие там "подборщики" идут лесом

-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3084; Возраст листа: 1034; Участников: 931
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/625935

Ответить  
"Alexandr V. Yanushevich"
Tue, 2 Jan 2007 07:58:57 +0300 (#625935)

 

А это не повлияет..? дело в том что мы на сервак по ssh входим...
и поточнее что именно файрволле подправить?

С новым годом!

-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3085; Возраст листа: 1034; Участников: 931
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/626007

Ответить  
Андрей К
Tue, 02 Jan 2007 10:02:32 +0300 (#626007)

 

Hello Андрей,

Tuesday, January 2, 2007, 9:02:32 AM, you wrote:

С Новым годом!

Это поменяет порт, на котором ссшд :)

Ответить   "Vadim S. Khondar" Tue, 2 Jan 2007 18:54:47 +0200 (#626022)

 

Сколько-то повлияет. Придётся всем, кто ходит по ssh на сервак в
подключении указывать порт 2. При подключении из никсов будет
выглядеть примерно так: /usr/bin/ssh -p 2 servak

-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3087; Возраст листа: 1035; Участников: 931
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/626111

Ответить  
"Alexandr V. Yanushevich"
Wed, 3 Jan 2007 12:51:35 +0300 (#626111)

 

Можно поставить /usr/ports/security/bruteblock
Почитать мануал и получить автоблокировку таких вот подборщиков.

With best regards
Anton Rymkus,
head of IT Dept.
Modul Co. Ltd
+7-812-303-9149
+7-911-700-0275


-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3090; Возраст листа: 1036; Участников: 931
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/626340

Ответить  
"A.Rymkus"
Thu, 4 Jan 2007 11:41:55 +0300 (#626340)

 

Однако появляется вероятность ложных срабатываний bruteblock
и совершенно не спасает, если, как писал уважаемый Андрей К,
"лезит по sshd...на сервер, айпишники всегда меняет..."

-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3091; Возраст листа: 1036; Участников: 931
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/626529

Ответить  
"Alexandr V. Yanushevich"
Thu, 4 Jan 2007 21:48:50 +0300 (#626529)

 

Можно в hosts.allow добавить ип с которых разрешено соединение,
остальные будут отсеиваца
после этого появляюца сообщения типа:
Jan 3 02:16:06 gw-bulat sshd[93311]: refused connect from 60.191.109.194 (60.191.109.194)

Либо ограничить в файрволе
С наилучшими пожеланиями,

-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3092; Возраст листа: 1037; Участников: 931
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/626660

Ответить  
Сергей
Fri, 5 Jan 2007 08:23:25 +0600 (#626660)

 

Эт конечно хорошо, но что делать если Вы сами выходите в инет через dial-up,
где адреса выдаются DHCP сервером и меняются раз в минуту?

With best regards
Anton Rymkus,
head of IT Dept.
Modul Co. Ltd
+7-812-303-9149
+7-911-700-0275


-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3094; Возраст листа: 1038; Участников: 934
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/627025

Ответить  
"A.Rymkus"
Sat, 6 Jan 2007 12:58:17 +0300 (#627025)

 

Доброе время суток A.Rymkus,

это не мой случай :)
хотя предусмотрен вход из IP сети MTS/GPRS админить приходица иногда с
КПК

С наилучшими пожеланиями,

-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3095; Возраст листа: 1038; Участников: 934
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/627029

Ответить  
Сергей
Sat, 6 Jan 2007 16:19:48 +0600 (#627029)

 

А для избежания этого отключается очистка таблички в файрволе.... Да и для
попадания в нее должно быть совершены 4 попытки в течении 1 минуты
(например, из стандартной конфы брутблока).
Для того чтобы не попасть туда самому ;) надо только не набирать больше 3
паролей за 1 минуту ;)))

With best regards
Anton Rymkus,
head of IT Dept.
Modul Co. Ltd
+7-812-303-9149
+7-911-700-0275


-*Название листа "[BSD] Решение вопросов по FreeBSD, OpenBSD и NetBSD";
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.bsd.all/rules
Номер письма: 3093; Возраст листа: 1038; Участников: 934
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.bsd.all/msg/627024

Ответить  
"A.Rymkus"
Sat, 6 Jan 2007 12:56:42 +0300 (#627024)