abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 7
včera 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
včera 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
včera 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
9.12. 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
9.12. 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
9.12. 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
9.12. 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 810 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: útoky na ssh

18.3.2007 17:22 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
útoky na ssh
Přečteno: 276×
Zdravím od dnešního rána pozoruji snahu o přihlášení přes ssh z jedné IP adresy. (samozřejmě těch IP je víc, ale tenhle je hnusně vytrvalý). Což samozřejmě není nic moc neobvyklého, ale neobvyklá je ta doba po kterou to zkouší (předpokládám, že nějaký skript). Začal 6:30 rána a stále pokračuje, stejná IP stejný user (root) každých cca 10 sekund. Nenapadá vás někoho jak mu silně znepříjemnit život? Nebojím se, že by se mu to povedlo, ale rozčilují mě ty šílené logy a zaplácaná linka. Nemáte někdo nápad? Díky R
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners

Odpovědi

18.3.2007 17:25 Jan Včelák | skóre: 28 | blog: Fcelda
Rozbalit Rozbalit vše Re: útoky na ssh
iptables -t filter -A INPUT -s zdrojovaip -j DROP
18.3.2007 17:28 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
Rozbalit Rozbalit vše Re: útoky na ssh
jasně tohle, ale neřeší zaplácanou linku a tudíž zhoršenou kvalitu linky (už takhle je nic moc). Doufal, jsem něco ekvivalentního k vytržení toho compu ze zásuvky. Zkoušel jsem kontaktoval lidi co jsou uvedeni v databázi whois - ale Made in China :-(
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners
18.3.2007 17:34 Jan Včelák | skóre: 28 | blog: Fcelda
Rozbalit Rozbalit vše Re: útoky na ssh
Když to uděláte takhle, brzo ho to omrzí. A nejlépe to udělat na prvním routeru, ke kterému máte přístup.
18.3.2007 17:38 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
Rozbalit Rozbalit vše Re: útoky na ssh
Spíš to dopadne tak, že požádám svého poskytovatele aby ho bloknul už někde u sebe. Myslím, že když mu poskytnu logy tak to nebude problém.
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners
18.3.2007 17:43 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
Rozbalit Rozbalit vše Re: útoky na ssh
ono se totiž s největší pravděpodobností jedná o nějaký skript - málokdo by vydržel sedět cca 12 hodin u compu a zkoušet pořád jedno a to samé.
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners
19.3.2007 07:59 Ash
Rozbalit Rozbalit vše Re: útoky na ssh
Skript neskript, prostě mu ten přístup zablokujte, jo? Skripty taky přestane bavit si povídat se strojem, který mu neodpovídá....on vás stejně za čas začne otravovat někdo jiný z jiné IP.

Já osobně jsem dal limit na počty navázání ssh spojení, ale je pravda že to není nejlepší řešení, protože si tam může člověk odříznout ssh přístup i sobě.
19.3.2007 10:55 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
Rozbalit Rozbalit vše Re: útoky na ssh
Nechal jsem ho zablokovat přímo na routeru svého poskytovatele. Nejde ani tak o to, že otravuje - těch případů je samozřejmě několik desítek za den, šlo spíš o to, že tenhle svinil linku celý den, nepřetržitě. Ostatní to zkusí, samozřejmě nepochodí a jdou o dům dál. R
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners
19.3.2007 15:03 Ash
Rozbalit Rozbalit vše Re: útoky na ssh
Chápu, srážka s blbcem :/ Snad časem upgraduje svuj skirpt :)
18.3.2007 17:34 bfield | skóre: 3
Rozbalit Rozbalit vše Re: útoky na ssh
pouzival jsem uspesne sshd pam modul, ktery po jednoduche konfiguraci, umoznuje pravdepodobne to co byste chtel. Na jmeno si ale bohuzel nevzpominam :(
18.3.2007 17:41 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
Rozbalit Rozbalit vše Re: útoky na ssh
není to čistě náhodou pam_abl? Pokud ano tak používám, resp. pokouším se - nějak mi na 64b fedoře blbne. Přidává záznamy kdy se mu zachce - jednou ano a několikrát ne. Např. pro tuto IP není jediný záznam.
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners
18.3.2007 21:31 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: útoky na ssh
zmen port pro sshd a mas pokoj od automatu ..:-) ...
jen se učím jak se to naučit .... ...
20.3.2007 08:19 mprokes
Rozbalit Rozbalit vše Re: útoky na ssh
souhlasím - funguje to velmi dobre :)
20.3.2007 08:27 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
Rozbalit Rozbalit vše Re: útoky na ssh
to nepopírám, ale již jsem tady někde zmiňoval, že to v tomto případě dost dobře nejde. Ostatně po nasazení denyhosts a zapnutou synchronizací s tím jejich centrálním serverem ještě nedošlo k blokaci z mého stroje - tím myslím, že všechny odmítnuté stroje jsou již v okamžiku pokusu o spojení zaneseny v hosts.deny
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners
18.3.2007 23:43 qk | skóre: 15 | blog: qk_develop
Rozbalit Rozbalit vše Re: útoky na ssh
Da se pouzit script Denyhosts, kterej potom blokuje pri urcitym poctu pokusu ty ip pres hosts.deny
DjAARA avatar 19.3.2007 01:03 DjAARA | skóre: 32 | Praha|Náklo|Olomouc
Rozbalit Rozbalit vše Re: útoky na ssh
Případně fail2ban, který to pro změnu řeší přes iptables.
19.3.2007 10:56 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
Rozbalit Rozbalit vše Re: útoky na ssh
dobrý tip -díky. Jak jsem psal používal jsem pam_abl, ale ten mi nějak blbnul, respektive poslední dobou nechodil vůbec.
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners
19.3.2007 19:11 Milan Dobeš | skóre: 22
Rozbalit Rozbalit vše Re: útoky na ssh
Nezapoměl jste PURGEovat (no fuj...) modulu PAM_ABL jeho databázi??? Autor doporučuje třeba cronem jednou denně

"pam_abl -p"

Má zkušenost je taková že pokud se to nedělá, po nějaké době začne zlobit (také jsem to prvně přehlédl :-))
19.3.2007 20:29 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
Rozbalit Rozbalit vše Re: útoky na ssh
Nezapomněl. Přestalo to šlapat když jsem přešel na 64b distro. Ale zda to má přímou souvislost to netuším.
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners
20.3.2007 00:28 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše pam_abl nefuguje
Nedavno jsme se v nem hrabal, protoze na Gentoo taky nefunguje. Zda se, ze se neco zmenilo (libpam nebo sshd). Na sf.net je jedna rada, ktera udajne funguje na SuSE, pak jeste v CVS je drobna oprava, kterou jeden kolemjdouci povazoval za nezbytnou.

Konktretne pam_abl funguje tak, ze na zacatku si ulozi do PAM kontextu vlastni datovy objekt. Kazdy datovy objekt muze mit zaregistrovanu funkci, kterou PAM system spusti, kdyz se ten konretni objekt nekdo pokusi prepsat nebo kdyz ma byt zrusen.

Nasledne pam_abl otestuje IP proti databazi a kdyz neni blokovana, preda rizeni zpet libpam. Ta zavola efektivni autentizacni modul (napr. pam_unix), ktery rozhodne, zda heslo je spravne nebo spatne.

Kdyz je heslo spatne, pam_unix vrati rizeni zpet sshd s tim, ze jeste zbyvaji dalsi autentizacni pokusy (implicitne jsou 3 celkem).

sshd zahaji dalsi autentizacni kolecko, takze se znovu spusti pam_abl a znovu se pokusi ulozit datovy objekt. To je vyhodnoceno jako pokus o prepsani, takze se vyvola (minule) zaregistrovana funkce, ktere je predan status, zda se objekt rusi nebo jen prepisuje. Protoze se prepisuje, pam_abl zadny zaznam do databaze nepripise (tak to bylo navrzeny, mozna to je spatne). A pokracuje se dal.

Pokud autentizace selze i po treti, mel by libpam pri likvidaci datovych objetku vyvolat pro kazdy objekt zaregistrovanou funkci a predat status, ze se jedna o vymaz. pam_abl by takovy status mel vyhodnotit jako konecne selhani autentizace a mel by IP zapsat do databaze.

Problem je, ze se ta callback funkce uz na potreti pri vymazu objektu nezavola, takze se nic nekotroluje a ani nic nikam nezapisuje.

Takto jsem to pochopil ze zdrojaku, autor k tomu zadnou dokumentaci neposkytuje.

Nasel jsem i nejakou stiznost v mailing listu Fedory (snad jedina dostribuce, ktera pam_abl obsahuje), ale akorat poradili zanest chybu do systemu na sledovani chyb.
19.3.2007 01:41 Jirka | skóre: 36
Rozbalit Rozbalit vše Re: útoky na ssh
Mám podobný problém (no, už vlastně ne) a ani by mi to vlastně nevadilo, kdyby se ten někdo alespoň snažil. Vám zkouší roota (jasně, je rozumné zakázat přihlašování roota přes ssh v konfiguráku, ale ...), mě zkouší různé "admin", "staff", "marketing" a jiné nesmysly.

Tak jsem nejdřív zkoušel dát každou takovou ip adresu do /etc/host.deny (sem tam se potřebuji připojit z různých - předem neznámých - ip adres, takže zakázat vše a povolit jen výjimky není vhodné), ale veřejných proxy serverů je jak sraček, tak jsem změnil port sshd a mají vymalováno. A kdyby si s tím náhodou dali práci, tak tu mám ještě seznam zakázaných ip adres v /etc/host.deny.
19.3.2007 02:14 partizan
Rozbalit Rozbalit vše Re: útoky na ssh
Aj mne pride presmerovat/zmenit port ssh z 22 na trebars 2222 alebo 22222 alebo na nieco podobne. Je to neskodne, jednoduche a v celku ucinne.
19.3.2007 10:26 Petr
Rozbalit Rozbalit vše Re: útoky na ssh
JJ, ja sem to vyresil uplne stejne - prehodil jsem port a jeste na PIXu povolil bloky adres kde bych se mohl vyskytovat. Od te doby (cca rok) ani jeden pokus.
19.3.2007 11:01 Radek Trnka | skóre: 26 | blog: Jen_tak | kousek od ČB
Rozbalit Rozbalit vše Re: útoky na ssh
na jiných strojích to taky používám, tady to vzhledem k okolnostem dost dobře nejde. A omezit na rozsah IP to tady u toho nelze - netusím kdy kde jakou budu mít IP a potrebuji mít ten stroj přístupný odkudkoliv.
Černé díry jsou tam, kde Bůh dělil nulou. -- Steven Wright one Liners
19.3.2007 10:24 fixinko
Rozbalit Rozbalit vše Re: útoky na ssh
mozes pouzit taketo nieco:
iptables -N vipip
iptables -A vipip -s IP -j ACCEPT

iptables -N sshattack
iptables -A sshattack -m recent --set --name sshattack --rsource -j ACCEPT
iptables -A sshattack -j vipip
iptables -A sshattack -m recent --update --seconds 100 --hitcount 10 --rttl --name sshattack --rsource -j DROP

iptables -I INPUT -i eth0 -m state --state NEW -p tcp --dport 22 -j sshattack
mozno sa to da aj inak napisat tie pravidla, ale toto ma v momente napadlo :)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.