Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Slavek 24. 07. 2011, 01:00:00

Název: Znepříjemnění života útočníkovi
Přispěvatel: Slavek 24. 07. 2011, 01:00:00
Dobrého dne,
jsem si teď jako x tý server rozeběhl jeden malý testovací u sebe a zkoušel jsem na něm různé DNS blbosti mj. přes dyndns. Což o to, malý ubuntu-server funguje jako obvykle, ale krátce potom, co jsem si ho zanesl do dyndns na něj začali tlačit číňani, nejvíc na ssh port 22. Není problém hodit ssh jinam (což jsem okamžitě udělal), ale dá se něco dělat obecně s tím, pokud víme, odkud se někdo snaží útočit? Je mi jasný, že dát no nosu číňanovi nepoletím, ale můžete mi poradit, jestli existuje nějaká metoda, jak třeba z adresy 220.163.117.132 znepříjemnit někomu cestu alepoň do Evropy? Lokálně si ho zablokovat umím, ale přijde mi to takové sobecké a malé. Nejde to nějak výš?
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: tuxmartin 24. 07. 2011, 01:24:30
Adresa se zablokovat pomoci:
iptables -A INPUT -s IP.AD.RE.SA -j DROP

Nastaveni SSH na jiny port je blbost. Pouzij Fail2Ban - http://bit.ly/pHtJZn, nebo DenyHost - http://bit.ly/FIeLy
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: Slavek 24. 07. 2011, 01:43:55
OK, pokud neexistuje něco jako v případě spamu, tak holt normálně lokálně. Přesun ssh bylo jen nouzové řešení, ale fail2ban vypadá docela dobře. Díky, použiju.
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: KapitánRUM 24. 07. 2011, 01:59:08
Od kdy je přesunutí SSH na port jiný blbost?
Že by se od rána něco změnilo?  ::)

Nicméně Fail2ban je jistě užitečná záležitost.

Obecně lze použít metody portknockingu.
Pokud si z nějaké IP ,,zaťukáš" na tajný port, (klidně z www prohlížeče www.blablabla.cz:12345) a pak se ti tvůj ,,sezam" krásně otevře.

Jsou i jiná řešení, jde o to, komu poskytuješ to, co ti na tom vlastně běží.
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: tuxmartin 24. 07. 2011, 02:21:06
OK, je pravda, ze tak zastavi prevaznou cast utoku. Ale uzivatele budou muset zadavat port. A kdo bude chtit, ten si SSH stejne najde. HTTP taky nikdo neprovozuje na jinem portu nez 80 (a taky by se nekdo mohl snazit prihlasit do webmailu).

Portknocking je hezky, ale je to zase dalsi komplikace navic. A co kdyz nekdo odchyti ty cisla oteviracich portu?

Nejjistejsi je pouzit kvalitni hesla (idealne klice) a pouzit program typu fail2ban. Ja mam po 5 spatnych prihlasenich na 5 minut ban a je po problemech.
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: JardaP . 24. 07. 2011, 07:58:55
Krome fail2ban se da pouzit denyhosts, u ktereho se da zapnout synchronisace s vnejsi databazi, coz vetsinu utoku zastavi jeste pred prvnim pokusem. Zakaz se neprovadi v iptables, ale v /etc/hosts.deny.

tuxmartin: Vyhoda presunu ssh  na jiny port je mimo jine v tom, ze pri prohledavani logu nemusite preskakovat 10000 zaznamu o nezdarenem pokusu dostat se dovnitr. Navic neni tak tezke napsat si pravidlo pro iptables, ktere vam ssh presune zpet na 22 na interfacu z vnitrni site, odkud se stejne vetsinou asi budete prihlasovat casteji a nebudete tak muset zadavat port. Utocnik si ssh port samozrejme najit muze (pokud tedy nepouzijete portknocking nebo neco), ale naprosta vetsina utoku je vykonavana automaticky skripty a ty si otukaji port 22 a kdyz nenajdou, jdou o adresu dal. Je pravdepodobne, ze pokud ssh presunete, nenajdete v logu jiz nikdy zadny zaznam o utoku.
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: Mirek Prýmek 24. 07. 2011, 08:09:47
Navic neni tak tezke napsat si pravidlo pro iptables, ktere vam ssh presune zpet na 22 na interfacu z vnitrni site

Jen na okraj: zadne presouvani portu neni potreba. Ssh umi bezet na dvou portech - 22 potom staci zakazat jenom na vnejsim rozhrani.
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: Slavek 24. 07. 2011, 11:14:52
Krome fail2ban se da pouzit denyhosts, u ktereho se da zapnout synchronisace s vnejsi databazi, coz vetsinu utoku zastavi jeste pred prvnim pokusem. Zakaz se neprovadi v iptables, ale v /etc/hosts.deny.
Díky! tohle jsem přesně měl úvodním dotazem na mysli. http://denyhosts.sourceforge.net/
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: JardaP . 24. 07. 2011, 12:00:18
Dobre. Nezapomente, ze synchrorizace neni defaultne zapnuta a musite si precist konfigurak (je hodne okomentovany, takze se to da).
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: gyter 24. 07. 2011, 14:35:45
Fail2ban sa mi osvecil tiez. Na SSH pouzi private key authentication. Este som zablokoval vsetky IP adresy pre neziaduce krajiny. http://www.countryipblocks.net/country-blocks/select-formats/ Odkedy som zablokoval Cinu tak fail2ban pomaly nema co robit.
Název: Re: Jak zastavit útoky z ip (jinak, než u mne)?
Přispěvatel: Ondřej Caletka 26. 07. 2011, 10:30:51
Navic neni tak tezke napsat si pravidlo pro iptables, ktere vam ssh presune zpet na 22 na interfacu z vnitrni site, odkud se stejne vetsinou asi budete prihlasovat casteji a nebudete tak muset zadavat port.
Další možnost, jak nepsat číslo portu, je konfigurační soubor klienta (~/.ssh/config nebo /etc/ssh/ssh_config):
Kód: [Vybrat]
Host jmenohosta.example.com
        Port 2222
Název: Re: Znepříjemnění života útočníkovi
Přispěvatel: rob 03. 08. 2011, 11:52:49
Jardo, ty tu synchronizaci proste nenapises ;D
Název: Re: Znepříjemnění života útočníkovi
Přispěvatel: JardaP . 03. 08. 2011, 12:24:10
Mam v pocitaci ojetou pasku a tak se nekdy nektera pismenka nezobrazuji spravne, napriklad z n nekdy vypadava kus prave nozicky.