Попытки взлома по ssh+mysql

[lastelf]

Добрый день . Хотел бы задать вопрос по поводу организации защита от взлома.Я недавно обнаружил в логах попытки перебора логина/пароля по ssh .По запарке забыл сменить порт сервера ssh. Причем перебор шел также по имени пользователя root. Также обнаружил в логах апача скан на наличие phpMyadmin, видимо для взлома mysql через него, порт 3306 закрыт. Думал попробовать использовать portsentry и поставить его слушать 22 порт и 3306. при попытках достучаться блочить хост. Что можете сказать по поводу этой идей. И что можно  еще организовать для защиты сервера.
Заранее спасибо.

[Mam(O)n]

Просто откажись в ssh от парольной аутентификации в пользу аутентификации по ключам и боты отстанут.

[lastelf]

Спасиб за совет.) Щас сменил порт ssh-ки. Если будут также долбиться то пожалуй им востользуюсь. А есть какие-нибудь мысли по поводу mysql? Кстати никак не могу найли логи mysql где собираются ошибки об аунтификациии.(
И пользовался кто-нибудь portsentry? У кого какие отзывы. Просто боюсь слусайно забанить нужные хосты.

[Mam(O)n]

А чё тут мыслить, раз 3306 закрыт то...

[Karl500]

Есть такая штука - fail2ban. Очень помогает от брутфорса.

[lastelf]

2 Mam(O)n
3306 конечно закрыт, но phpmyadmin висит на 80 порту на апаче ( вот меня и интересует вероятность взлома через него.
Пользователь решил продолжить мысль 20 Января 2011, 14:49:01:и на mysql по умолчанию к тому-же рутовый логин(

[Mam(O)n]

но phpmyadmin висит на 80 порту на апаче (

А вот этого я бы не пускал в мир вообще, ибо пыхадмин сам по себе эпизодически блещет эпическими дырами.

[lastelf]

Попробую его немного прикрыть с помощью .htacces
Кстати как насчет безопасности .htacces?
Открыть доступ на phpmyadmin только для определенных хостов либо по авторизации пропускать?

[yuristep]

И пользовался кто-нибудь portsentry? У кого какие отзывы. Просто боюсь слусайно забанить нужные хосты.

Работает себе и работает А "забанить" невиновных им достаточно тяжело - нужно постараться так криво его отконфигурировать ...
Пользователь решил продолжить мысль 20 Января 2011, 15:20:16:

Попробую его немного прикрыть с помощью .htacces
Открыть доступ на phpmyadmin только для определенных хостов либо по авторизации пропускать?

Обогнали мой ответ - именно так. А как и что разрешить - ну дык Вы админите - Вам и виднее.... Допустим у меня - разрешение по хостам - внутренняя сеть и мои ВПН-клиенты....

[Schneider]

Есть такая штука - fail2ban. Очень помогает от брутфорса.

В логах увидел, что подбирают пароль месяц уже!!
Поступил просто в  iptables INPUT добавил строку -пропускать с внешки только с одного IP адреса ! все остальное DROP
потом подумал и еще добавилв исключения пару сетей с которых бывает захожу.
С локалки провайдера никто не ломится поэтому доступ с нее оставил.
Теперь смотрю как раза 3 в день все равно попытки остаются (раньше сотню раз в час).
Вряд ли догадаются какие адреса у меня в белом листе. А даже если догадаются вряд ли смогут с них зайти. Не нужно им это все.
Похоже просто бот работает, шерстит весь инет, а вдруг повезет?

Так что не вижу смысла fail2ban ставить! это если она будет добавлять баны каждый раз для IP адресов , это какая таблица iptables получиится?
Читал, что довольно просто загнуть сервер большим количеством трафика в такой ситуации, ведь сколько правил придеться проходить всем пакетам! (IMHO)  

[Brunen]

Есть такая штука - fail2ban. Очень помогает от брутфорса.

В логах увидел, что подбирают пароль месяц уже!!
Поступил просто в  iptables INPUT добавил строку -пропускать с внешки только с одного IP адреса ! все остальное DROP
потом подумал и еще добавилв исключения пару сетей с которых бывает захожу.
С локалки провайдера никто не ломится поэтому доступ с нее оставил.
Теперь смотрю как раза 3 в день все равно попытки остаются (раньше сотню раз в час).
Вряд ли догадаются какие адреса у меня в белом листе. А даже если догадаются вряд ли смогут с них зайти. Не нужно им это все.
Похоже просто бот работает, шерстит весь инет, а вдруг повезет?

Так что не вижу смысла fail2ban ставить! это если она будет добавлять баны каждый раз для IP адресов , это какая таблица iptables получиится?
Читал, что довольно просто загнуть сервер большим количеством трафика в такой ситуации, ведь сколько правил придеться проходить всем пакетам! (IMHO)  

Немного обобщу:
1. Сменить порт у sshd на нестандартный(от балды - 13132).
2. Поставить всё-таки fail2ban при условии, что сканы часто идут с определённых ip-адресов. В его конфиге можно указывать, на какое время банить тот-же доступ(по sshd) для этих ip. Т.е. правила в цепочке INPUT iptables  будут чиститься через определённое время.
3. Сделать доп. защиту по ключам для ssh, если не лень.
4. Разрешить по sshd ходить только с определённых ip-адресов, т.е. только себе.

Если будут вопросы - пишите, отвечу. Тока цитируйте, пожалуйста, сообщения мои - иначе не увижу Ваши

[Karl500]

Так что не вижу смысла fail2ban ставить! это если она будет добавлять баны каждый раз для IP адресов , это какая таблица iptables получиится?
Читал, что довольно просто загнуть сервер большим количеством трафика в такой ситуации, ведь сколько правил придеться проходить всем пакетам! (IMHO)  

Вы не очень хорошо представляете, как работает fail2ban. Он блокирует атакующего на какое-то (устанавливаемое Вами) время, например - на час после (например) трех попыток подбора. По прошествии часа блок снимается. Это просто делает брутфорс бессмысленным, и чаще всего атакующий просто отваливает. Если не отваливает - ну и пусть долбится, один фиг ничего с таким таймаутом в час между каждыми тремя попытками он сломать не сможет.

[AnrDaemon]

Зачем так мучаться? ... -m recent и всем привет.
А переносить SSHD - найдут, дня не пройдёт.

[dj--alex]

но phpmyadmin висит на 80 порту на апаче (

А вот этого я бы не пускал в мир вообще, ибо пыхадмин сам по себе эпизодически блещет эпическими дырами.

а я то думал я в Dbscript одну дыру за другой заделывать не успеваю ))))

[Schneider]

Так что не вижу смысла fail2ban ставить! это если она будет добавлять баны каждый раз для IP адресов , это какая таблица iptables получиится?
Читал, что довольно просто загнуть сервер большим количеством трафика в такой ситуации, ведь сколько правил придеться проходить всем пакетам! (IMHO)  

Вы не очень хорошо представляете, как работает fail2ban. Он блокирует атакующего на какое-то (устанавливаемое Вами) время, например - на час после (например) трех попыток подбора. По прошествии часа блок снимается. Это просто делает брутфорс бессмысленным, и чаще всего атакующий просто отваливает. Если не отваливает - ну и пусть долбится, один фиг ничего с таким таймаутом в час между каждыми тремя попытками он сломать не сможет.

Понятно. Я вот как раз искал в документации sshd таймаут, и очень удивился, что не нашел. Таймаут (настройка его) обязательно должен присутствовать там где есть авторизация. Странно что это приходиться делать фактически дополнительными средствами. Да, и кроме того, взломщик может просто хаотично менять свой IP. Я видел по логам, если не удается пробиться на 22 порт сначала следует пара попыток смены IP а потом попытки перестают поступать, ну иногда раза два в сутки приходят запросы.
Вот смотрите логи:

(Нажмите, чтобы показать/скрыть)

sudo cat /var/log/auth.log |grep invalid
Apr 24 08:03:08 localhost sshd[13334]: Failed password for invalid user test from 125.206.243.126 port 45670 ssh2
Apr 24 08:03:15 localhost sshd[13336]: Failed password for invalid user test from 125.206.243.126 port 46819 ssh2
Apr 24 08:03:21 localhost sshd[13338]: Failed password for invalid user test from 125.206.243.126 port 48180 ssh2
Apr 24 08:03:27 localhost sshd[13340]: Failed password for invalid user test from 125.206.243.126 port 49279 ssh2
Apr 24 08:03:32 localhost sshd[13342]: Failed password for invalid user teste from 125.206.243.126 port 50525 ssh2
Apr 24 08:03:38 localhost sshd[13344]: Failed password for invalid user teste from 125.206.243.126 port 51553 ssh2
Apr 24 08:03:45 localhost sshd[13346]: Failed password for invalid user teste from 125.206.243.126 port 52661 ssh2
Apr 24 08:03:51 localhost sshd[13348]: Failed password for invalid user teste from 125.206.243.126 port 53986 ssh2
Apr 24 08:03:56 localhost sshd[13350]: Failed password for invalid user user from 125.206.243.126 port 55159 ssh2
Apr 24 08:04:02 localhost sshd[13352]: Failed password for invalid user user from 125.206.243.126 port 56144 ssh2
Apr 24 08:04:07 localhost sshd[13354]: Failed password for invalid user user from 125.206.243.126 port 57530 ssh2
Apr 24 08:04:13 localhost sshd[13356]: Failed password for invalid user user from 125.206.243.126 port 58480 ssh2
Apr 24 08:04:55 localhost sshd[13370]: Failed password for invalid user admin from 125.206.243.126 port 38592 ssh2
Apr 24 08:05:01 localhost sshd[13372]: Failed password for invalid user admin from 125.206.243.126 port 39804 ssh2
Apr 24 08:05:07 localhost sshd[13374]: Failed password for invalid user admin from 125.206.243.126 port 40995 ssh2
Apr 24 08:05:12 localhost sshd[13376]: Failed password for invalid user admin from 125.206.243.126 port 42213 ssh2
Apr 24 08:05:48 localhost sshd[13386]: Failed password for invalid user guest from 125.206.243.126 port 48445 ssh2

в 8.05 я добавил правило блокировки

Код: [Выделить]

-A INPUT ! -s внешнийIP -i ppp0 -p tcp -m tcp --dport 22 -j LOG --log-prefix "hacker_atack: "
-A INPUT ! -s внешнийIP -i ppp0 -p tcp -m tcp --dport 22 -j DROP на трафик извне, и вот что было в сислоге:

(Нажмите, чтобы показать/скрыть)

Apr 24 10:50:13 localhost kernel: [419091.265750] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.72 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1223 PROTO=TCP SPT=12476 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 10:50:16 localhost kernel: [419094.285297] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.72 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1224 PROTO=TCP SPT=12476 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 10:50:22 localhost kernel: [419100.244568] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.72 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1225 PROTO=TCP SPT=12476 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 10:50:34 localhost kernel: [419112.495224] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.72 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1226 PROTO=TCP SPT=12476 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 10:50:58 localhost kernel: [419136.671951] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.72 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1227 PROTO=TCP SPT=55147 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 10:51:46 localhost kernel: [419184.262066] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.133.103 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1228 PROTO=TCP SPT=41974 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 10:51:49 localhost kernel: [419187.305769] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.133.103 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1229 PROTO=TCP SPT=41974 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 10:51:55 localhost kernel: [419193.444875] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.133.103 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1230 PROTO=TCP SPT=41974 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 10:52:07 localhost kernel: [419205.443576] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.133.103 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1231 PROTO=TCP SPT=41974 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 10:52:31 localhost kernel: [419229.664212] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.133.103 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1232 PROTO=TCP SPT=34243 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0


Apr 24 10:53:20 localhost kernel: [419278.406130] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.133.103 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1233 PROTO=TCP SPT=30249 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 11:15:06 localhost kernel: [420583.961727] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.16 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=1 PROTO=TCP SPT=41574 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 11:15:09 localhost kernel: [420586.921566] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.16 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=2 PROTO=TCP SPT=41574 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 11:15:15 localhost kernel: [420593.044525] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.16 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=3 PROTO=TCP SPT=41574 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 11:15:27 localhost kernel: [420605.294974] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.16 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=4 PROTO=TCP SPT=41574 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0
Apr 24 11:15:51 localhost kernel: [420629.324104] hacker_atack: IN=ppp0 OUT= MAC= SRC=213.87.137.16 DST=myIP LEN=56 TOS=0x00 PREC=0x00 TTL=240 ID=5 PROTO=TCP SPT=48136 DPT=22 WINDOW=21568 RES=0x00 SYN URGP=0

Apr 24 17:13:26 localhost kernel: [442083.993809] hacker_atack: IN=ppp0 OUT= MAC= SRC=210.202.227.52 DST=myIP LEN=60 TOS=0x00 PREC=0x00 TTL=41 ID=25722 DF PROTO=TCP SPT=35226 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Apr 24 18:07:42 localhost kernel: [445340.286078] hacker_atack: IN=ppp0 OUT= MAC= SRC=62.73.96.11 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=44304 PROTO=TCP SPT=65376 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 24 18:13:43 localhost kernel: [445701.548282] hacker_atack: IN=ppp0 OUT= MAC= SRC=219.154.45.50 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=12107 PROTO=TCP SPT=32325 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 24 20:49:19 localhost kernel: [455036.812408] hacker_atack: IN=ppp0 OUT= MAC= SRC=60.30.32.26 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=27028 PROTO=TCP SPT=4225 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 24 22:11:25 localhost kernel: [459963.394336] hacker_atack: IN=ppp0 OUT= MAC= SRC=85.17.189.146 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=48533 PROTO=TCP SPT=36273 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 24 23:30:44 localhost kernel: [464722.295602] hacker_atack: IN=ppp0 OUT= MAC= SRC=71.63.214.1 DST=myIP LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=37231 DF PROTO=TCP SPT=44742 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Apr 24 23:30:47 localhost kernel: [464725.035183] hacker_atack: IN=ppp0 OUT= MAC= SRC=71.63.214.1 DST=myIP LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=37232 DF PROTO=TCP SPT=44742 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

и продолжают делать попытки 

(Нажмите, чтобы показать/скрыть)

cat /var/log/syslog.1 |grep hacker
Apr 26 20:18:47 localhost kernel: [626005.674336] hacker_atack: IN=ppp0 OUT= MAC= SRC=220.249.101.74 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=30264 PROTO=TCP SPT=42617 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 26 20:47:32 localhost kernel: [627730.412981] hacker_atack: IN=ppp0 OUT= MAC= SRC=202.114.40.155 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=57739 PROTO=TCP SPT=39247 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 27 01:44:26 localhost kernel: [645544.535942] hacker_atack: IN=ppp0 OUT= MAC= SRC=78.47.143.83 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=18465 PROTO=TCP SPT=24592 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 27 01:52:14 localhost kernel: [646012.078643] hacker_atack: IN=ppp0 OUT= MAC= SRC=78.46.188.86 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=47143 PROTO=TCP SPT=1661 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 27 02:21:15 localhost kernel: [647753.592780] hacker_atack: IN=ppp0 OUT= MAC= SRC=78.47.143.83 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=37317 PROTO=TCP SPT=3271 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Apr 27 04:02:07 localhost kernel: [653805.654206] hacker_atack: IN=ppp0 OUT= MAC= SRC=195.70.36.96 DST=myIP LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=39754 PROTO=TCP SPT=22154 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0