AbcLinuxu:/ Blogy / pb / Útoky na SSH mění strategii

Útoky na SSH mění strategii

9.9.2008 16:32 | Přečteno: 2540× | poslední úprava: 25.11.2008 15:32

Pokud máte stroj se v Internetu, na který se přihlašujete přes SSH, tak jste se jistě setkali s hromadnými pokusy o uhádnutí hesla. Možná jste si nastavili nějaký systém pro detekci a odražení útoku. Pak si raději projděte logy, protože váš systém se asi již několik dnů míjí účinkem.

Sám používám bezpečnostní modul pam_abl, který sleduje frekvenci útočících strojů a po překročení jistého počtu chybných přihlášení z téže adresy učiní tomuto řádění přítrž. Nakonec napojený skript zašle hlášení o incidentu jabberem.

Avšak poslední dobou mi přestaly zprávy chodit. Ne, útočníky si neodnesl ani čert, ani neprozřeli. Změnila se taktika útoku, na kterou je můj detekční systém krátký.

Hleďte:

Sep  7 18:42:27 gw sshd[23616]: Failed password for invalid user admin from 213.8.59.133 port 49426 ssh2
Sep  7 19:09:32 gw sshd[23902]: Failed password for invalid user admin from 124.42.124.87 port 16947 ssh2
Sep  7 19:46:37 gw sshd[24324]: Failed password for invalid user admin from 123.14.10.64 port 18032 ssh2
Sep  7 20:16:09 gw sshd[24649]: Failed password for invalid user admin from 74.95.30.50 port 54088 ssh2
Sep  7 20:46:32 gw sshd[24990]: Failed password for invalid user admin from 69.64.166.23 port 56622 ssh2
Sep  7 21:17:52 gw sshd[25330]: Failed password for invalid user admin from 69.64.166.23 port 39447 ssh2
Sep  7 21:39:05 gw sshd[25561]: Failed password for invalid user admin from 200.56.117.250 port 55007 ssh2
Sep  8 00:34:25 gw sshd[27484]: Failed password for invalid user admin from 80.152.235.138 port 41501 ssh2
Sep  8 00:48:31 gw sshd[27648]: Failed password for invalid user admin from 90.188.155.248 port 34724 ssh2
Sep  8 01:18:10 gw sshd[27981]: Failed password for invalid user data  from 80.34.55.88 port 50898 ssh2
Sep  8 01:33:37 gw sshd[28152]: Failed password for invalid user data  from 200.79.25.39 port 17768 ssh2
Sep  8 01:49:23 gw sshd[28319]: Failed password for invalid user data  from 218.201.39.216 port 1533 ssh2
Sep  8 02:43:13 gw sshd[28922]: Failed password for invalid user data  from 89.97.62.16 port 34530 ssh2
Sep  8 09:17:36 gw sshd[  923]: Failed password for invalid user ftp   from 200.148.241.202 port 41471 ssh2
Sep  8 10:21:36 gw sshd[ 1634]: Failed password for invalid user ftp   from 90.188.155.248 port 59550 ssh2
Sep  8 11:10:39 gw sshd[ 2175]: Failed password for              mail  from 201.236.192.195 port 19295 ssh2
Sep  8 11:27:23 gw sshd[ 2357]: Failed password for              mail  from 145.253.179.228 port 50467 ssh2
Sep  8 12:05:04 gw sshd[ 2765]: Failed password for              mail  from 78.96.220.78 port 21005 ssh2

Na první pohled to vypadá jako internetový šum, ale na druhý, poté co se zaměříte na posloupnost přihlašovacích jmen, lze vypozorovat pravidelnost.

Dovolím si tvrdit, že se rodí nová strategie: distribuované útoky.

Uzly botnetu nyní spolu komunikují a vedou koordinovaný útok, snažíce se zakrýt svoje stopy příkrovem adresního prostoru a času. Prozrazují je jen účty.

Obávám se, že pokud četnost těchto útoků stoupne na tolik, že jeden stroj bude pod palbou několika botnetů ve stejný okamžik, i sloupec s uživatelskými jmény ztratí na pravidelnosti, a tak útok snáze unikne bedlivému oku správce.

Tímto vyzývám obecenstvo, aby potvrdilo či vyvrátilo mé domněnky a navrhlo spravedlivý systém pro odhalování těchto útoků.

Anketa

Tiskni Sdílej:

Komentáře

Vložit další komentář

Utoci na me od minule nedele. Nasbiral jsem zatim neco pres 800 unikatnich IP, ktere uz blokuji pro SSH. Jestli si nekdo chce usetrit namahu, rad poskytnu cerstvy seznam.

Podle me ti boti ani tak moc komunikovat nemusi. Na me zkusi 2 jmena a pak si da minimalne hodinu pokoj, jestli ma kazdy uzel svoji mnozinu jmen, komunikovat nemusi, protoze ne prekryvaji. No a vcase, kdy to nezkousi na me, to zkousi na jine servery - to uz mam potvrzeno z jineho serveru.

Momentalne to vyresim tak, ze na SSH se pujde pripojit jen z konkretnich IP adres a pak si na par mistech pustim SSH na nejake naprosto nestandardnim portu, pripadne k tomu pouziju port randomizer. Ma nekdo nejake napady?

GUI existuje jen proto, aby se veslo vice terminalu na jednu obrazovku ...

9.9.2008 17:34 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Používat místo hesla klíče, na port 22 pověsit falešné ssh s nějakým virtuálním pískovištěm a kouknout se, co bude bot dělat, když uspěje? Poté analyzovat úpravy, které bot provedl, komunikační protokol používaný botnetem, najít bezpečnostní díru a botnet zrušit nebo jím zrušit jiný botnet

Hello world ! Segmentation fault (core dumped)

9.9.2008 20:47 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

kouknout se, co bude bot dělat, když uspěje

Tohle jsem chtěl vyzkoušet, ale nevím jak udělat dostatečně slabé heslo, aby se bot rychle proboural. Existuje nějaká možnost rozbrazení zkoušeného hesla, nebo se to řeší nějakým hashem?

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

9.9.2008 21:05 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tipuju root nebo toor :) Uz instaluju virtualni masinu :)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

9.9.2008 21:29 Jakub Suchy
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Pozor. Takovy honeypot ma zavazne bezpecnostni i pravni dusledky. Nez to udelas, bud si jich prosim vedom.

9.9.2008 21:53 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Bezpecnostnich jsem si vedom. A pravni dusledky? Samozrejme to nenecham utocit na cizi stroje, jestli myslite tohle :)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

9.9.2008 21:34 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

root:rootpassword

root:root

root:password

admin:admin

milion pitomych hesel. taky je mozno dat prazdny heslo, ale to se musi explicitne u sshd povolit.

Jinak me to nechava absolutne klidnym. Ackoliv moje hesla na verejnych strojich nejsou nikterak silene dlouha, nejsou to zadna slovnikova slova a tak neverim ze by to nejaky robot prolomil, tak at se klidne snazi, sshd je bude odkazovat do vecnych lovist. Snad toho akorat nebude tolik ze to zpusobi DoS, pak to samozrejme bude lepsi zarazit uz na firewallu.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

10.9.2008 00:38 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

taky je mozno dat prazdny heslo

Že by to bylo až takhle jednoduchý, no ale co, vyzkouším .

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

10.9.2008 08:41 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

admin:admin
ROFL .. mám to do dneška na domácím routeru ..

Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.

10.9.2008 09:44 CEST
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

hehe, vtipny. nedavno jsem se takhle analyzou hacknutyho serveru dostal na jedno FTPko, kde meli ty script kiddies tyhle nastroje, tak jsme tam kouknul a maji fakt dost hesel. Byl tam i seznam IP, jmeno+heslo, neco jsem zkusil, nejaky routery jsou prekonfiguroval a restartoval.

jinak jsem zkousel i ty IRC servery, ale to uz jsem pak nemel tolik casu s tim vic experimentovat, ale ty boti se prihlasi s ID napadenyho systemu.

10.9.2008 07:12 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Používat místo hesla klíče...

To nekdy neni mozne, zvlast jestli je pozadovano, aby uzivatele meli k serveru pristup odkudkoliv (kde lze alespon nainstalovat putty)...

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 08:39 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To nekdy neni mozne, zvlast jestli je pozadovano, aby uzivatele meli k serveru pristup odkudkoliv (kde lze alespon nainstalovat putty)...

A pokud tam lze nainstalovat putty, nejde tam nahrát klíček z flashdisku nebo třeba i z webu?

10.9.2008 09:08 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

a) z flashdisku: no to právě předpokládá, že člověk má ten flashdisk všude (heslo si pamatuju i na pustým ostrově)

b) z webu: no to pak už vůbec nemá cenu používat nějaký ssh :D

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 09:58 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Za to při připojování z cizích počítačů má cenu to SSH používat, když tam může být libovolný trojan a to putty stahuješ taky z webu, takže může být klidně udělaný man in the middle útok na to http spojení přes které stahuješ to putty.

To s tím putty po http vyvozuji z:

a) z flashdisku: no to právě předpokládá, že člověk má ten flashdisk všude (heslo si pamatuju i na pustým ostrově)

13.9.2008 02:09 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Když ho zahesluješ, tak získáš podobnou bezpečnost jako u SSH s heslem.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

10.9.2008 11:02 tomm | skóre: 7 | blog: tomm's software | Sokolov
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Používat místo hesla klíče

Kolegove jsou jeste na dovolenych, takze v tento okamzik to nepirpada v uvahu, ale samozrejme to bude brzo nasledovat.

na port 22 pověsit falešné ssh s nějakým virtuálním pískovištěm a kouknout se, co bude bot dělat, když uspěje? Poté analyzovat úpravy, které bot provedl, komunikační protokol používaný botnetem, najít bezpečnostní díru a botnet zrušit nebo jím zrušit jiný botnet

Kez bych na tohle mel cas, moc by me to bavilo Uz jsem si par tech nodu projel nmapem, co maji otevreno, ale zatim jsem na nic moc neprisel, neni cas

GUI existuje jen proto, aby se veslo vice terminalu na jednu obrazovku ...

10.9.2008 14:19 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já jsem jednou našel na IP adrese, odkud mě crackovali (neúspěšně ), běžící VNC server, tak se připojím a co vidím: Suse .

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

10.9.2008 16:06 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jeden ochotný správce mi kdysi poslal .bash_history a inkriminované soubory (zdrojáky útočníkových nástrojů). Něco bych o tom mohl napsat, jestli bude zájem.

10.9.2008 16:20 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

urcite

10.9.2008 16:36 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jsem pro.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

10.9.2008 18:08 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To by nebylo spatny. Ke me zatim nic neleze, takze se rad podivam :)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

9.9.2008 17:36 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ma nekdo nejake napady?

PubkeyAuthentication yes
PasswordAuthentication no
ChallengeResponseAuthentication no

9.9.2008 17:54 rincewind | skóre: 14 | blog: Bloguji,_tedy_jsem? | Hermanova Hut
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ne vzdy jdou pouzit jen klice :( takze to resim klice + heslo ktery mi vrati tohle echo "heslo" | md5sum. A velmi premyslim, ze pro cely pristup zavedu to same co pro web - pristup jen z CZ, SK, DE IP adres - btw. nasel jsem sice urcity seznam, ale nahodne jsem zjistil, ze neni presny, nemate nekdo navrh na takovy seznam adres?

9.9.2008 21:31 Jakub Suchy
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

povoluju si vetsinou pouze neco takoveho: 85.160.0.0/16:22/tcp 147.32.0.0/16:22/tcp 82.99.128.0/18:22/tcp 217.77.160.0/20:22/tcp

+ par jednotlivych adres. vim, ze vzdycky v jedne z tech siti mam stroj ze ktereho se tam dostanu. je to neco jako CRo, Eurotel, Vodafone, CVUT. T-Mobile jsem nezkoumal, nepouzivam.

10.9.2008 10:01 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

heslo ktery mi vrati tohle echo "heslo" | md5sum

Doufám, že pak nezapomínáš pouštět history -c na stroji, kde sis heslo generoval

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 10:12 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Hlavně si stačí spočítat jak ošklivě tím použitím md5sum redukuje počet možných kombinací. Přecijen md5ka je dlouhá 128bit, což při té šestnáctkové soustavě dělá nějakých 32 znaků, které si musí uživatel zapamatovat, kdyby místo toho použil znaky z běžné klávesové mapy, tak má něco jako 7 bitů na znak, což při 32 znacích dělá 224 bitů. Případně při stejné bezpečnosti (tj. délka 128bit) musí použít zaokrouhleně jen 19 znaků...

Snad každému je jasné, že 2^128 << 2^224

9.9.2008 20:18 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To neresi problem, ze takovy ssh utok muze dost vytezovat CPU.

v ankete chybi: "nevim, logy nezkoumam"

9.9.2008 17:29 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Příloha:

• log-auth-week.png (3430 bytů)

Jo, přesně tak

Btw, jako detekci útoku používám mrtg sledující rychlost růstu souboru /var/log/auth.log. Když je tam kopeček, tak tam byl útok (viz příloha)

Hello world ! Segmentation fault (core dumped)

9.9.2008 17:35 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Link | Blokovat | Admin

Ano, tento typ útoku jsem zaznamenal také, ale v drtivé většině to nebylo více než 10 pokusů/uzlů na jedno uživatelské jméno. Zatím vidím jako nejjednodušší řešení (když nepočítám whitelist s povolením jen určitých adres a zákazem všech ostatních - bohužel nemohu použít) volbu vhodných hesel (tedy ne "admin" a podobně ), případně povinnou autentizaci klientským certifikátem.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

9.9.2008 18:52 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Link | Blokovat | Admin

Tyhle útoky už pozoruji nějaký čas (tak cca půl roku zpět). Kupodivu i na mém malém domácím servříku. Bohužel na ostrých strojích, které spravuji, si obvyklé triky jako povýšení SSH portu či přihlašování pouze pomocí klíčů nemohu dovolit. Ale i tak, dokud to budou pořád jen útoky zkoušející jména a hesla ze slovníku, tak se toho nebojím.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

9.9.2008 20:42 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Bohužel na ostrých strojích

&

přihlašování pouze pomocí klíčů nemohu dovolit.

To si děláš srandu, ne? Ten luxus, jakým je povolené přihlašování pomocí hesla si snad můžeš dovolit akorát tak na domácích strojích, ne? Nebo to myslíš vážně, že se na produkční stroje přihlašujete pomocí hesel a máte přihlášení heslem povolené?

A přehazování SSH na jiný port je taky blbost.

9.9.2008 20:49 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Bohužel na ostrých strojích

&

přihlašování pouze pomocí klíčů nemohu dovolit.

To si děláš srandu, ne? Ten luxus, jakým je povolené přihlašování pomocí hesla si snad můžeš dovolit akorát tak na domácích strojích, ne? Nebo to myslíš vážně, že se na produkční stroje přihlašujete pomocí hesel a máte přihlášení heslem povolené?

A přehazování SSH na jiný port je taky blbost.

jj, telnet rules!

10.9.2008 10:11 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

< vtip > náhodou, telnet by byl rulezní, pochybuji totiž, že by se ho dneska někdo pokoušel hackovat < / vtip >

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

13.9.2008 02:11 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já nepochybuju :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

9.9.2008 22:02 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Myslím to samozřejmě úplně vážně. Doporučuji nesoudit předčasně a hlavně bez znalosti podstatných detailů jako třeba typ provozované služby, požadavky vedení, apod. Zatím jsem neviděl webhosting, který by měl přihlašování pouze pomocí klíčů. Ba co hůř, mnohde se stále používá FTP a přístup přes SCP/SFTP/FTPS aby člověk vyloženě hledal.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

9.9.2008 22:28 pele | skóre: 28 | blog: Bleabr | UH
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

A přehazování SSH na jiný port je taky blbost.

Proc by to mela byt blbos, ja sem se takhle utoku na me verejne adresy zbavil. Samozrejme sem nasledne zakazal autentizaci heslem.

Pravda má jednu velkou výhodu: člověk si nemusí pamatovat, co řekl.

9.9.2008 22:35 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Když jste zakázal autentizaci heslem, tak jste nemusel přehazovat port. Ale jinak souhlasím, není to blbost, i když autentizace pomocí klíčů je podstatně lepším řešením.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

9.9.2008 23:03 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

+1

Také nechápu proč by to měla být blbost. Téže jsem tak učinil a spokojeností jen bručím.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

10.9.2008 00:27 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Protoč.

10.9.2008 00:35 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Není to blbost. Minimálně to pomůže od vytěžování linky a CPU stupidními boty (i když je povolené přihlašování jenom klíčem)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

10.9.2008 08:58 anicka | blog: ze_zivota
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Blbost to samozřejmě není. Když tomu neříkáš "bezpečnostní opatření" ale "hack, díky kterému je můj server mnohem méně vytížený," bude vše v naprostém pořádku

^D

10.9.2008 09:48 CEST
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Když tomu neříkáš "bezpečnostní opatření" ale "hack, díky kterému je můj server mnohem méně vytížený," bude vše v naprostém pořádku

Do ty doby, nez ty zombie zacnou delat tcp scany. SSH se docela hezky identifikuje.

10.9.2008 10:06 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Aspoň ti to pomůže rozlišit vážnější zájemce o hacking od úplných lam, které nemá cenu řešit.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 10:16 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ono nemá cenu řešit žádný útok, který spočívá v tipování usernamů s hesel. (Za předpokladu, že člověk nemá nastavené stupidní hesla a pokud taková hesla má, tak mu nepomůže ani 10 změněných portů)

10.9.2008 10:05 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

K tomu nestandardnímu portu jde udělat ještě malé vylepšení: pro moje známé adresy bude povolena 22, aby uživatele neobtěžovalo zadávání jiného portu, pro cizí adresy bude fungovat jen port nestandardní (přesměrovaný např. v iptables).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Tak po prve - root je na ssh zakazany a po druhe - uz moje samotne prhlasovacie meno je nezistitelne. A to nehovorim o hesle (ktore je samozrejme menene kazdy mesiac) - makepasswd --char=25

9.9.2008 22:39 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tak po prve - root je na ssh zakazany a po druhe - uz moje samotne prhlasovacie meno je nezistitelne. A to nehovorim o hesle (ktore je samozrejme menene kazdy mesiac) - makepasswd --char=25

Paranoja je skvela vec, a ani neboli vsak? A ten zablokovany root skrz SSH, to tu nespominaj, mnohym pride blbo aj po case...

10.9.2008 11:00 Smajchl | skóre: 39 | blog: Drzy_Nazory | Praha
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

tak ono pokud mas povoleny sudo, tak ti je to k nicemu zablokovat roota pres ssh... Maximalne jde o to, ze bot ma mensi sanci uhodnout tvy username, "root" zkusi asi kazdy

My máme všechno co chcem, my máme dobrou náladu!

10.9.2008 11:15 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Povolené sudo neznamená automaticky povolené sudo bez hesla, nebo se stejným heslem jako pro uživatele...

11.9.2008 17:12 miro
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Síla, už vím, že pány Kubečka a Jirsáka lze snadno odlišit v davu podle svatozáře nad jejich hlavami. Ale je to spíš debata na téma "co je to certifikát", památná debata na téma PermitRootLogin no proběhla spíš tady.

11.9.2008 20:04 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Síla, už vím, že pány Kubečka a Jirsáka lze snadno odlišit v davu podle svatozáře nad jejich hlavami.

Otec a syn. Ještě tu chybí Duch svatý

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

11.9.2008 20:07 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

To jsem já... Kudy chodím, tam nadávám na ifconfig... :D A taky na přečíslování SSH na jiný port...

11.9.2008 20:31 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

A nechtěl byste si k tomu přibrat i to varování, že se za žádnou cenu nemají nevydávat z ruky privátní klíče? Jo a pak ještě různá dvojitá, trojitá a vícečetná hesla jako zvýšení bezpečnosti. Abyste to měl komplet…

11.9.2008 20:44 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

13.9.2008 02:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nemají nevydávat? To že musím povinně vydat svůj soukromý klíč komukoliv? :D

To asi ne, že ;).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.9.2008 02:16 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Když koukám na tu konstrukci věti, tak teda i vidím, ja vznikala.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.9.2008 02:23 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

*y

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.9.2008 11:07 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

No jo, vznikala, vznikala, ale nějak nedovznikla. Ta poslední iterace na nemají vydávat už nějak neproběhla

13.9.2008 15:49 miro
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Už jsem se chtěl polekat, že jste se nakonec nechal od papundekla přesvědčit

10.9.2008 07:20 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Link | Blokovat | Admin

Si říkám, že by vlastně vše vyřešilo, kdyby ssh umožňovalo připojení pomocí dvojice, nebo trojice hesel. IMHO by i dvě slabší hesla byla ve výsledku velmi těžko rozlousknutelná a hlavně by to bylo uživatelsky zapamatovatelné :)

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 08:38 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Stačí si to jedno heslo, které používáte, prodloužit o jeden znak, a výsledek bude bezpečnější, než kdybyste používal trojici hesel stejně dlouhých, jako je vaše současné heslo.

Pokud máte heslo dlouhé x znaků a budu brát 26 možných znaků hesla, musí útočník vyzkoušet maximálně 26^x kombinací. Když heslo prodloužíte o 1 znak, bude to 26^x+1, tedy 26×(26^x) ale když použijete 3 hesla o délce x, bude to jenom 3×(26^x).

10.9.2008 09:07 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

ale když použijete 3 hesla o délce x, bude to jenom 3×(26^x).

Blbost. Když použiji tři hesla, tak samozřejmě musejí být správně všechna zároveň, tj. bude to 26^3x! Což se samozřejmě liší od hesel s délkou 3x jedine v zapamatovatelnosti a možnosti použít např. tři triviální („slovíková“) slova...

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 09:52 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Pokud to budou 3 hesla, která zadáváte postupně, a každé se ověřuje zvlášť (tj. zadáte 1. dozvíte se, zda je správně, zadáte druhé atd.), je to 3×(26^x) – ověřují se nezávisle na sobě 3 hesla. Pokud zadáte první heslo, nedozvíte se nic, zadáte druhé, také nic a až po třetím se hesla zkontrolují, je to úplně to samé, jako by to bylo jedno heslo o trojnásobné délce – a k tomu nepotřebujete žádnou podporu v ssh, můžete si prostě ta tři triviální hesla napsat za sebe.

10.9.2008 10:07 MJ | Tady a teď
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

je to úplně to samé, jako by to bylo jedno heslo o trojnásobné délce

Přísně vzato, není, pokud jsou ta tři hesla různě dlouhá. Pro tři neprázdná hesla o celkové délce N mám 26^N*C(N-1,2) = 26^N*(N-1)*(N-2)/2 možností. To lze samozřejmě překonat přidáním několika málo (totiž 2*log₂₆ N) znaků k jedinému heslu.

10.9.2008 14:42 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Pokud to budou 3 hesla, která zadáváte postupně, a každé se ověřuje zvlášť (tj. zadáte 1. dozvíte se, zda je správně, zadáte druhé atd.), je to 3×(26^x) – ověřují se nezávisle na sobě 3 hesla.

A kdo by dělal takovou hovadinu? Samozrejme, ze zadate tri hesla, a pak se dozvite, ze bud jsou z nich vsechna spravna, nebo "alespon jedno heslo neni spravne"...

Pokud zadáte první heslo, nedozvíte se nic, zadáte druhé, také nic a až po třetím se hesla zkontrolují, je to úplně to samé, jako by to bylo jedno heslo o trojnásobné délce – a k tomu nepotřebujete žádnou podporu v ssh, můžete si prostě ta tři triviální hesla napsat za sebe.

Vy vubec nectete prispevky, na ktere reagujete, ze? Samozrejme, ze to neni to same, protoze zapamatovat si (a nejen pro BFU) heslo typu „nejakydlouhynesmyslbla“ je daleko tezsi, nez tri slova (typu „zizala“, „sroubek“, „karburator“). To, ze lze vymyslet bezpecna hesla preci dnes neni problem, problemem je, jak donutit uzivatele, aby skutecne bezpecne heslo mel a zaroven aby si je byl schopen zapamatovat!

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 15:06 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Uživatel si může zapamatovat tři běžná slova, ale je to velice hloupé - stačí na to slovníkový útok.

Pokud by byla tři samostatně zadávaná hesla, dejme tomu: abcd efgh chijk, tak to má oproti jednomu dlouhému heslu jedinou výhodu: abcd efgh chijk a abc def ghchijk jsou dvě různé věci, zatímco, kdyby se to psalo do jendoho hesla, množina možností je při stejné celkové délce menší.

Zlepšení je to jednak velmi malé, že se kvůli němu nevyplatí implementovat nový mechanismus, a jednak velmi pochybné - dá se na něj dívat i jako na zhoršení, protože podněcuje uživatele k tomu, aby používali několik jednoduchých slov a ty se dají snadno hádat se slovníkem.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 15:48 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Uživatel si může zapamatovat tři běžná slova, ale je to velice hloupé - stačí na to slovníkový útok.

Předpokládejme běžný slovník o 10.000 slovech. Pak při třech heslech to je 1*10¹² kombinací. Pokud bychom uvažovali úplně náhodné heslo složené z osmi malých písmen, pak to bude 26⁸, což je cca 0.2*10¹² možností...

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 16:10 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Heslo z osmi malých písmen je nedostatečné. Obecné doporučení zní, že heslo by mělo obsahovat alespoň 3 ze 4 skupin znaků (velká písmena, malá písmena, číslice a zvláštní znaky). Což dělá 26 + 26 + 10 + 10* = 72. Vybereme si třeba jen velká, malá a číslice a máme 62 možných znaků. Počet kombinací je tedy 62⁸, což je řádově 200x víc než ty tři hesla.

*) dejme tomu, že se omezíme jen na: !@#$%^&*{}

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 16:28 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jediné, co jste přidal, je nutnost uhodnout ještě pozici dvou mezer mezi hesly. Jak se tím zvýší počet možných kombinací už vám napsal Martin Mareš, konkrétně pro celkovou délku hesla 5 písmen dosáhnete lepšího výsledku přidáním 1 znaku, pro celkovou délku hesel do 26 znaků dosáhnete lepšího výsledku přidáním dvou znaků.

10.9.2008 09:45 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tak si prostě tu trojici hesel vymysli a piš je vždy za sebou, ne?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 14:33 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Jak je na tom bezpečnost ssh hesla v závislosti na jeho délce a na délce šifry, protože pokud by bylo heslo, které je delší než šifra méně bezpečné, tak po spojení všech tří hesel, by se ochrana mohla teoreticky oslabit.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

10.9.2008 15:55 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

A jak k tomu donutit BFU, ha?

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 16:17 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

1. Technickými prostředky - stanovit pravidla pro hesla: délka, skupiny znaků, kontrola proti slovníku, kontrola proti předchozím heslům (ty si můžeme schovávat dobře zahešovaná)
2. Bezpečnostní politikou - stanovit odpovědnost uživatele za operace provedené jeho s přihlašovacími údaji. Když ztratíš peněženku s kartou a máš na ní napsaný PIN, tak je to tvoje blbost a banka ti za případné škody taky nic nedá. Měl sis PIN chránit. Stejně tak je to s heslem.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 09:11 vladky | skóre: 19
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Link | Blokovat | Admin

10.9.2008 09:42 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Link | Blokovat | Admin

"Postihl" v anketě znamená, že mě hacknuli, nebo že to zkoušeli? Samozřejmě, že to zkoušeli. Ale řeším to takhle:

• Na strojích, kde je firewallem povolené připojení z libovolné IP adresy mám zakázané přihlašování heslem, jen SSH klíče. + uživatel musí být uveden v AllowUsers v sshd_conf.
• Na stroji kam se přihlašuji heslem, mám firewallem omezený počet IP na 1-2 adresy.

DDoS jsem neřešil - intenzita útoků zatím nebyla tak vysoká, abych musel řešit zátěž CPU.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Proč se vlastně něčím takovým zabývat? Pokud nepoužívám triviální hesla, nemají sebemenší šanci uspět. Koneckonců, nejlepší je, jak již bylo zmíněno, přihlašování heslem vůbec nepoužívat a zásadně používat klíče, a pak mají úplnou smůlu.

Až jich bude tolik, že začnou mému serveru žrát příliš mnoho paměti nebo procesorového času, začíná to mít smysl řešit.

10.9.2008 14:49 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano, problem zacina a konci tim, jak vynutit, aby BFU a LFU(*) ona netrivialni hesla meli.

(*) Lazy Fucking User

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 15:11 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

BFU, LFU? Ty dáváš takovým uživatelům přístup přes SSH? Někdy ho opravdu potřebují, třeba aby mohli nahrávat soubory na web, ale takoví uživatelé se většinou připojují z jednoho dvou počítačů. Pak není problém s tím, že by museli s sebou nosit SSH klíč. Stačí zakázat přihlašování heslem a nasměrovat je třeba na tento návod: SSH klíče ve Windows - PuTTY.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 16:30 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

uplne jednoduse. muzes si to nastavit v /etc/pam.d/password

Talking about music is like dancing to architecture.

Založit nové vlákno • Nahoru