reklama

Znepříjemnění života útočníkovi

Slavek

Znepříjemnění života útočníkovi
« kdy: 24. 07. 2011, 01:00:00 »
Dobrého dne,
jsem si teď jako x tý server rozeběhl jeden malý testovací u sebe a zkoušel jsem na něm různé DNS blbosti mj. přes dyndns. Což o to, malý ubuntu-server funguje jako obvykle, ale krátce potom, co jsem si ho zanesl do dyndns na něj začali tlačit číňani, nejvíc na ssh port 22. Není problém hodit ssh jinam (což jsem okamžitě udělal), ale dá se něco dělat obecně s tím, pokud víme, odkud se někdo snaží útočit? Je mi jasný, že dát no nosu číňanovi nepoletím, ale můžete mi poradit, jestli existuje nějaká metoda, jak třeba z adresy 220.163.117.132 znepříjemnit někomu cestu alepoň do Evropy? Lokálně si ho zablokovat umím, ale přijde mi to takové sobecké a malé. Nejde to nějak výš?
« Poslední změna: 31. 07. 2011, 22:02:35 od Petr Krčmář »

reklama


Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #1 kdy: 24. 07. 2011, 01:24:30 »
Adresa se zablokovat pomoci:
iptables -A INPUT -s IP.AD.RE.SA -j DROP

Nastaveni SSH na jiny port je blbost. Pouzij Fail2Ban - http://bit.ly/pHtJZn, nebo DenyHost - http://bit.ly/FIeLy
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

Slavek

Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #2 kdy: 24. 07. 2011, 01:43:55 »
OK, pokud neexistuje něco jako v případě spamu, tak holt normálně lokálně. Přesun ssh bylo jen nouzové řešení, ale fail2ban vypadá docela dobře. Díky, použiju.

KapitánRUM

Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #3 kdy: 24. 07. 2011, 01:59:08 »
Od kdy je přesunutí SSH na port jiný blbost?
Že by se od rána něco změnilo?  ::)

Nicméně Fail2ban je jistě užitečná záležitost.

Obecně lze použít metody portknockingu.
Pokud si z nějaké IP ,,zaťukáš" na tajný port, (klidně z www prohlížeče www.blablabla.cz:12345) a pak se ti tvůj ,,sezam" krásně otevře.

Jsou i jiná řešení, jde o to, komu poskytuješ to, co ti na tom vlastně běží.

Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #4 kdy: 24. 07. 2011, 02:21:06 »
OK, je pravda, ze tak zastavi prevaznou cast utoku. Ale uzivatele budou muset zadavat port. A kdo bude chtit, ten si SSH stejne najde. HTTP taky nikdo neprovozuje na jinem portu nez 80 (a taky by se nekdo mohl snazit prihlasit do webmailu).

Portknocking je hezky, ale je to zase dalsi komplikace navic. A co kdyz nekdo odchyti ty cisla oteviracich portu?

Nejjistejsi je pouzit kvalitni hesla (idealne klice) a pouzit program typu fail2ban. Ja mam po 5 spatnych prihlasenich na 5 minut ban a je po problemech.
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

reklama


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #5 kdy: 24. 07. 2011, 07:58:55 »
Krome fail2ban se da pouzit denyhosts, u ktereho se da zapnout synchronisace s vnejsi databazi, coz vetsinu utoku zastavi jeste pred prvnim pokusem. Zakaz se neprovadi v iptables, ale v /etc/hosts.deny.

tuxmartin: Vyhoda presunu ssh  na jiny port je mimo jine v tom, ze pri prohledavani logu nemusite preskakovat 10000 zaznamu o nezdarenem pokusu dostat se dovnitr. Navic neni tak tezke napsat si pravidlo pro iptables, ktere vam ssh presune zpet na 22 na interfacu z vnitrni site, odkud se stejne vetsinou asi budete prihlasovat casteji a nebudete tak muset zadavat port. Utocnik si ssh port samozrejme najit muze (pokud tedy nepouzijete portknocking nebo neco), ale naprosta vetsina utoku je vykonavana automaticky skripty a ty si otukaji port 22 a kdyz nenajdou, jdou o adresu dal. Je pravdepodobne, ze pokud ssh presunete, nenajdete v logu jiz nikdy zadny zaznam o utoku.

Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #6 kdy: 24. 07. 2011, 08:09:47 »
Navic neni tak tezke napsat si pravidlo pro iptables, ktere vam ssh presune zpet na 22 na interfacu z vnitrni site

Jen na okraj: zadne presouvani portu neni potreba. Ssh umi bezet na dvou portech - 22 potom staci zakazat jenom na vnejsim rozhrani.

Slavek

Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #7 kdy: 24. 07. 2011, 11:14:52 »
Krome fail2ban se da pouzit denyhosts, u ktereho se da zapnout synchronisace s vnejsi databazi, coz vetsinu utoku zastavi jeste pred prvnim pokusem. Zakaz se neprovadi v iptables, ale v /etc/hosts.deny.
Díky! tohle jsem přesně měl úvodním dotazem na mysli. http://denyhosts.sourceforge.net/

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #8 kdy: 24. 07. 2011, 12:00:18 »
Dobre. Nezapomente, ze synchrorizace neni defaultne zapnuta a musite si precist konfigurak (je hodne okomentovany, takze se to da).

gyter

Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #9 kdy: 24. 07. 2011, 14:35:45 »
Fail2ban sa mi osvecil tiez. Na SSH pouzi private key authentication. Este som zablokoval vsetky IP adresy pre neziaduce krajiny. http://www.countryipblocks.net/country-blocks/select-formats/ Odkedy som zablokoval Cinu tak fail2ban pomaly nema co robit.

Re: Jak zastavit útoky z ip (jinak, než u mne)?
« Odpověď #10 kdy: 26. 07. 2011, 10:30:51 »
Navic neni tak tezke napsat si pravidlo pro iptables, ktere vam ssh presune zpet na 22 na interfacu z vnitrni site, odkud se stejne vetsinou asi budete prihlasovat casteji a nebudete tak muset zadavat port.
Další možnost, jak nepsat číslo portu, je konfigurační soubor klienta (~/.ssh/config nebo /etc/ssh/ssh_config):
Kód: [Vybrat]
Host jmenohosta.example.com
        Port 2222

rob

Re: Znepříjemnění života útočníkovi
« Odpověď #11 kdy: 03. 08. 2011, 11:52:49 »
Jardo, ty tu synchronizaci proste nenapises ;D

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re: Znepříjemnění života útočníkovi
« Odpověď #12 kdy: 03. 08. 2011, 12:24:10 »
Mam v pocitaci ojetou pasku a tak se nekdy nektera pismenka nezobrazuji spravne, napriklad z n nekdy vypadava kus prave nozicky.

 

reklama