Portál AbcLinuxu, 29. prosince 2025 21:17


Dotaz: Utoky na server (SSH???)

1.2.2007 15:04 Nes | skóre: 20 | blog: Nes
Utoky na server (SSH???)
Přečteno: 822×
Odpovědět | Admin
myslim, ze se nekdo chtel ke me dostat: /var/log/messages

Jan 11 21:27:28 Nes sshd[15675]: Invalid user mirek from 192.168.15.1 (To je adresa, na ktere se pripojuji ke svemu routeru !!!!!)

Jan 11 21:25:22 Nes sshd[15052]: Accepted keyboard-interactive/pam for root from 192.168.15.1 port 1963 ssh2 (neznamena to, ze se to nekomu povedlo???) Jan 11 21:27:28 Nes sshd[15675]: Invalid user mirek from 192.168.15.1 Jan 11 21:27:34 Nes sshd[15675]: error: PAM: User not known to the underlying authentication module for illegal user mirek from 192.168.15.1

Jan 31 10:34:36 Nes sshd[7962]: Invalid user listen from 85.186.19.17 Jan 31 10:34:36 Nes sshd[7967]: Invalid user securityagent from 85.186.19.17 Jan 31 10:34:43 Nes sshd[7972]: Invalid user tivo from 85.186.19.17 Jan 31 10:34:45 Nes sshd[7978]: Invalid user rivka from 85.186.19.17

potreboval bych to co nejjednoduseji vyresit s tim abych mohl pouzivat VNC (z prace) + aby se pres ssh mohli ke me pripojit mnou uvedene IP

1) pry staci v /etc/hosts.deny povolit IP je to fakt? pokud ani, prosim dal by mi nekdo priklad jak by mel tento soubor vypadat se zakazanymi ip: 147.145.145.1 a 145.445.545.122 ?

2) pokud pujde bod 1), tak VNC komunikuje pres ssh ? A Putty taky komunikuje pres ssh? - obcas bych se chtel dostat pres putty nebo vnc i z jineho mista, tak bych potreboval vedet, zda je potreba to v tom souboru take povolit tu IP..

Diky !!!!

(prispevek SSH - povolit přístup pouze ze dvou počítačů, ale moc jsem tomu nerozumel - hlavne nevim, zda to je presne muj problem...)
ICQ 454104749 zacatecnik v debianu 64 bit, mala znalost anglictiny
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

1.2.2007 15:06 Nes | skóre: 20 | blog: Nes
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Odpovědět | | Sbalit | Link | Blokovat | Admin
jinak otazka mozna trochu mimo - chtel jsem ty messages procistit, tak jsem to prekopiroval do zalohy, smazal, dal tam prazdny soubor messages a NIC :-( - nic se do nej nezapisovalo... Tak jsem ze zalohy prekopiroval ten plny z5 a zase nic :-( - ted zrovna nemohu restart, ale po nem by se to melo spravit, ze? nebo jsem neco extra pohnojil?

Diky
ICQ 454104749 zacatecnik v debianu 64 bit, mala znalost anglictiny
1.2.2007 15:27 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
restartni syslog ( myslim ze -HUP ho nedonuti k zalozeni fajlu )
Any technology distinguishable from magic is insufficiently advanced.
1.2.2007 22:05 Nes | skóre: 20 | blog: Nes
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
vubec nevim o cem je rec :-(
ICQ 454104749 zacatecnik v debianu 64 bit, mala znalost anglictiny
AraxoN avatar 1.2.2007 23:11 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)

syslog je proces, ktorý sa stará o zápis rôznych systémových udalostí do logu, resp. logov. Tieto udalosti sa zapisujú do súboru, alebo súborov, podľa svojej dôležitosti, či podľa iných kritérií, alebo sa záznamy o udalosti môžu posielať po sieti na centrálny logovací server. V tvojom prípade to zapisuje do súboru. To prebieha tak, že pri spustení si ten proces otvorí súbor na zápis a na jeho koniec dopisuje a dopisuje. Jedna z vlastností linuxu je tá, že ak súbor otvorený procesom niekto druhý (ty) vymaže, tak pre ten proces to nič neznamená a ďalej dopisuje do /dev/null (to je niečo ako čierna diera) ako keby sa nechumelilo. Takže syslog má ten súbor otvorený, aj keď si ho medzičasom vymazal. Keď si ho potom vytvoril nanovo, tak ten proces má otvorený ten pôvodný súbor, ktorý neexistuje. Takže potrebuješ tento logovací proces reštartovať, lebo vtedy sa ľudovo povedané spamätá, a začne znova písať tam kam by si predpokladal. K reštartovaniu syslog-u podobne ako u všetkých linuxových služieb nie je nutné reštartovať celý počítač, stačí v adresári /etc/init.d/ spustiť patričný príkaz. Ktorý to je v tvojom prípade - to neviem, keďže v úlohe syslog môže vystupovať niekoľko rôznych balíčkov. Reštartovanie služby vyzerá nejak takto:

araxon ~ # /etc/init.d/metalog restart
 * Stopping metalog ...                     [ ok ]
 * Starting metalog ...                     [ ok ]

Akurát v tvojom prípade bude miesto metalog niečo iné - to už vykúmaj sám.

2.2.2007 00:55 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Moc pěkně a srozumitelně napsané. Jen bych trochu upřesnil tu část s /dev/null.

V linuxu je obecně situace taková, že soubor v rámci souborového systému zabírá nějaké místo a je popsán v tzv. inode (česky se tomu někdy říka inoda). Inode je identifikován číslem a není to soubor. Soubor jako takový je pouze odkaz na inode a na jeden inode jich může odkazovat několik. V inode je počítadlo souborů, které na daný inode odkazují. (ten je možno vidět ve výpisu ls -l) Ostatně i proto se funkce na smazání souboru jmenuje unlink. Vlastní smazání inode je provedeno ve chvíli, kdy počet odkazů klesne na 0.

Pokud si proces otevře soubor, potom se toto číslo v paměti počítače zvýší (v ls -l to tedy není vidět) a pokud se soubor zavře, tak se číslo zase sníží. Pokud tedy smažu otevřený soubor, tak snížim pouze číslo z 2 (odkaz v adresáři+otevřený soubor) na 1, ale proces, který soubor používal, ho vesele může používat dál a soubor je pořád na disku v plné velikosti. Proto syslog pořád zapisoval do původního souboru, ke kterému se ovšem nedalo dostat, protože na něj v žádném adresáři nebyl odkaz.

Tenhle princip je na první pohled matoucí, ale když se nad tím človek zamyslí, tak to dává smysl.

Jinak pro informaci, je možné použít příkaz tail -f /var/log/messages, který vypíše posledních 10 řádek ze zmiňovaného logu a přepne se do režimu, kdy zobrazuje vše, co přibylo.
2.2.2007 01:33 mikky | skóre: 25 | blog: Ghlog | M. L. - Praha
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Souhlasím, je to napsané pěkně. Ale nejsem si jistý, esli bych to stejně dobře pochopil, kdybych byl úplný začátečník, nebo bych nevědel nic o způsobu používání souborů v UNIXu. Ale to nemá nic společného s pisatelem původního návodu - pro uživatele "znalé" v dané problematice je to více než výstižné (btw, to AloneInTheDark: jak moc si licencuješ Tvůj příspěvek? ;-) )

Teď se mi nechce psát nic extra obsáhlého, abych i úplným začátečníkům poskytl nějaký nadhled (přecijen už je celkem pozdě :-) ), ale kdyby někdo chěl něco vědět, klidně se mi ozvěte ;-)

Možná, když na to nezapomenu a po zkouškovym mi zbyde čas, zkusim nějaké naprosté základy sesmolit do blogu...

-miky
Je vám méně než 30 ? (jsme vrstevnící => budeme si tykat) : (jsem pro vás bažant => můžete mi tykat);
2.2.2007 01:55 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Ahoj, az do ted jsem mel jinou praci, takze jsem nenapsal vic. Jak myslis to licencujes ? No pravda, mohl jsem napsat spust /etc/init.d/syslog restart ale nejak jsem si neuvedomil, ze by puvodni tazatel na to neprisel a myslel jsem ze se alespon neco dozvi o necem novem :)
Any technology distinguishable from magic is insufficiently advanced.
1.2.2007 18:45 Tony
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nainstaluj si DenyHost, je to program ktery ti hlida pripojeni pres ssh a kdyz presahne tebou povoleny limit spatnych pripojeni hodi ip dotycneho do hosts.deny. Jinac hosts.deny vypada takto: 
# cat /etc/hosts.deny
sshd: 83.246.116.78
sshd: 59.125.118.241
sshd: 61.206.125.26
2.2.2007 08:54 Pavel | skóre: 15 | blog: Pavlův blog | Praha
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Muzu taky doporucit Fail2Ban, ktery dela neco podobneho jako DenyHost, jen blokuje IP adresy pres iptables.
1.2.2007 23:55 tomfi | skóre: 19
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Odpovědět | | Sbalit | Link | Blokovat | Admin
určitě si zakaž přihlašování vzdáleně jako root a určitě nepoužívej hesla typu 123

dovolil bych si říci, že pokud si ten řádek z Jan 11 21:25:22 nezapříčil ty, tak se naskytuje myšlenka ( a někdo by dokonce mohl říct, že vzhledem ke slovu Accepted, je to i dosti pravděpodobné), že došlo k úspěšnému přihlášení pomocí hesla na konto root :) ...

a jestli na 192.168.15.1 je tvůj domácí router a ten kdo se přihlašoval jsi nebyl ty (přesně jsem nepochopil formulaci takže nevim jestli je to ono) tak je docela možné, že již i ten je tak trochu kompromitován :)

Mimochodem, "někdo se ke mě pokoušel dostat" :) já mám ssh klasicky na portu 22 a v bloku (pomocí zde zmiňovaného programu) nám neustále zdravě kolem 120 ipadres, ta co po měsíci vypadne je velice rychle nahrazena jinou :) ... ze začátku jsem se to snažil řešit( hlavně u případů kdy mě jedna adresa testovala více počítačů (prostě když někdo vzal celej subnet) a zdrovna náhodou to bylo z Čech nebo Polska) , ale jejich ISP mi nikdy neodpověděli, tak jsem to nechal plavat, at si taky děti užijou dobrodružství :D

ps: nejhorší je že člověka otravujou i když má povolené přihlašování jenom podle klíče :(
Vždyť jsou to jen jedničky a nuly ...
2.2.2007 01:42 Míra
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Odpovědět | | Sbalit | Link | Blokovat | Admin
SSH lze jednoduše nastavit tak, že se může přihlásit jen určitý uživatel (rozhodně ne root). A/Nebo se lze přihlásit jen z určité IP adresy. To je myslím dost silné zabezpečení...
2.2.2007 10:02 Nes | skóre: 20 | blog: Nes
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Odpovědět | | Sbalit | Link | Blokovat | Admin
ufff je toho celkem dost ;-)

1) muzete mi prosim rict jak muzu tedy udelat aby se jako root nemohl nikdo prihlasit? (+jak by mel vypadat soubor kde se to zakazuje) pokud se nekdo prihlasuje pod rootem a ja bych to mel zakazane, tak muj pocitac nevyhodi hlasku, ze to je zakazane, ale rekne mu to same, jako kdyby to bylo povolene a on zadal spatne heslo, ze? - jedna se mi co nejmene snizit moznost vylucovaci metody - aby si nemohl rict, ok, roota ma zakazaneho, zkusim neco jineho...)

2)kde se nastavuje to povolovani jen z IP ktere si nastavim? Jaky ma mit ten soubor format? - dejme tomu chci povolit ip : 192.15.44.5 a 555.555.55.2

Dekuji.
ICQ 454104749 zacatecnik v debianu 64 bit, mala znalost anglictiny
2.2.2007 10:09 hm
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
man sshd_config
2.2.2007 10:20 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
No treba dobry zacatek by mohlo byt podivat se do souboru /etc/hosts.allow a /etc/hosts.deny

Prikaz man hosts.deny ti ukaze manual, kde je popsano jak se to nastavuje.

Priklad: chces zakazat prihlasovani k sshd odevsad s vyjimkou tech dvou adres 
upravim /etc/hosts.allow nasledovne:
sshd: 192.15.44.5,555.555.55.2


pote upravim /etc/hosts.deny nasledovne:
( zakazu vsechno odevsad )
ALL:ALL
Samozrejmne se to da udelat i jinak, napr. pomoci iptables si nastavit takova pravidla, aby povolovala prihlaseni na sshd pouze z urcitych adres. Pokud server bude v divocine na internetu, stejne drive ci pozdeji bude potreba se iptables naucit. Na internetu je spousta tutorialu i ceskych. ( hledej tady na www.abclinuxu.cz a na www.root.cz )
Any technology distinguishable from magic is insufficiently advanced.
2.2.2007 10:20 Pepa Rokos | skóre: 8 | Buková
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Tak prihlaseni na root sa zakazuje v /etc/ssh/sshd_config. Musi tam byt PermitRootLogin No. Utocnik se pokousi prihlasit na roota a ssh mu vrati Permission denied i kdyz tam zada to heslo dobre. Kdyz se tam prihlasis na uzivatele a chces byt root, pouzij prikaz su. Zaklad je ovsem v silnych heslech. Pokud budes mit na uzivatele i na roota stejne slabe heslo, tak je tohle optreni celkem zbytecne.

Celkem dobre opatreni je prihlasovani pomoci klicu, ale je to trosku neprakticke, protoze musis s sebou porad tahat soukromy klic treba na flashce. Bez nej se tam pak totiz neda dostat.
2.2.2007 13:06 Nes | skóre: 20 | blog: Nes
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
omlouvam se, ale v anglictine nejsem dobry :-( (ty manualy jsou jen v angline).

jinak do /etc/ssh/sshd_config jsem zapsal PermitRootLogin No zkousel jsem to i s PermitrootLogin No PermitRootLogin NO PermitRootLogin no

a nejde to...

zde je obsah onoho souboru:

# $OpenBSD: ssh_config,v 1.22 2006/05/29 12:56:33 dtucker Exp $

# This is the ssh client system-wide configuration file. See # ssh_config(5) for more information. This file provides defaults for # users, and the values can be changed in per-user configuration files # or on the command line.

PermitRootLogin No

# Configuration data is parsed as follows: # 1. command line options # 2. user-specific file # 3. system-wide file # Any configuration value is only changed the first time it is set. # Thus, host-specific definitions should be at the beginning of the # configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options. For a comprehensive # list of available options, their meanings and defaults, please see the # ssh_config(5) man page.

Host * # ForwardAgent no # ForwardX11 no

# If you do not trust your remote host (or its administrator), you # should not forward X11 connections to your local X11-display for # security reasons: Someone stealing the authentification data on the # remote side (the "spoofed" X-server by the remote sshd) can read your # keystrokes as you type, just like any other X11 client could do. # Set this to "no" here for global effect or in your own ~/.ssh/config # file if you want to have the remote X11 authentification data to # expire after two minutes after remote login. ForwardX11Trusted yes

# RhostsRSAAuthentication no # RSAAuthentication yes # PasswordAuthentication yes # HostbasedAuthentication no # GSSAPIAuthentication no # GSSAPIDelegateCredentials no # BatchMode no # CheckHostIP yes # AddressFamily any # ConnectTimeout 0 # StrictHostKeyChecking ask # IdentityFile ~/.ssh/identity # IdentityFile ~/.ssh/id_rsa # IdentityFile ~/.ssh/id_dsa # Port 22 # Protocol 2,1 # Cipher 3des # Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc # EscapeChar ~ # Tunnel no # TunnelDevice any:any # PermitLocalCommand no # GSSAPIAuthentication no # GSSAPIDelegateCredentials no

PermitRootLogin No

# Set this to 'yes' to enable support for the deprecated 'gssapi' authentication # mechanism to OpenSSH 3.8p1. The newer 'gssapi-with-mic' mechanism is included # in this release. The use of 'gssapi' is deprecated due to the presence of # potential man-in-the-middle attacks, which 'gssapi-with-mic' is not susceptible to. # GSSAPIEnableMITMAttack no

# This enables sending locale enviroment variables LC_* LANG, see ssh_config(5). SendEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES SendEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT SendEnv LC_IDENTIFICATION LC_ALL
ICQ 454104749 zacatecnik v debianu 64 bit, mala znalost anglictiny
2.2.2007 14:16 Buki
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
1) uz to tam zjevne bylo (pokud mas OpenBSD, jak naznacuje ident souboru, tak je to zakazane defaultne)
2) musis to sshd restartnout, aby se zmena projevila (napr. kill -HUP `cat /var/run/sshd.pid`) 3) konference podporuje par HTML tagu, tvoji pozornosti doporucuji napr. <code>
2.2.2007 14:18 Buki
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
shit, tak jsem samozrejme zapomnel na <br> po bodu 2) :))
2.2.2007 15:24 Nes | skóre: 20 | blog: Nes
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
ja jsem zkousel service sshd restart... a stejne nic... - porad se pres putty muzu jako root lognout, ale loguji se jako root (s malym r)
ICQ 454104749 zacatecnik v debianu 64 bit, mala znalost anglictiny
2.2.2007 16:43 Nes | skóre: 20 | blog: Nes
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
jeste muj soubor zkousel jsem tam pokusne toto nechat :

# /etc/hosts.deny # See 'man tcpd' and 'man 5 hosts_access' as well as /etc/hosts.allow # for a detailed description.

http-rman: ALL EXCEPT LOCAL sshd 85.186.19.17 sshd 82.165.242.67 sshd deny from 85.186.19.17 sshd deny from 82.165.242.67

a v messages mi to napsalo: Feb 2 16:38:03 Nes mysqld[3731]: warning: /etc/hosts.deny, line 6: missing ":" separator Feb 2 16:38:03 Nes mysqld[3731]: warning: /etc/hosts.deny, line 7: missing ":" separator Feb 2 16:38:03 Nes mysqld[3731]: warning: /etc/hosts.deny, line 8: missing ":" separator Feb 2 16:38:03 Nes mysqld[3731]: warning: /etc/hosts.deny, line 8: missing newline or line too long Feb 2 16:38:03 Nes mysqld[3731]: warning: /etc/hosts.deny, line 6: missing ":" separator Feb 2 16:38:03 Nes mysqld[3731]: warning: /etc/hosts.deny, line 7: missing ":" separator Feb 2 16:38:03 Nes mysqld[3731]: warning: /etc/hosts.deny, line 8: missing ":" separator
ICQ 454104749 zacatecnik v debianu 64 bit, mala znalost anglictiny
2.2.2007 17:12 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Priste ty vypisy uzavirej do bloku 
(pre)

text

(/pre)
kde misto kulatych zavorek () pouzij hranate.

K problemu:

za sshd ma byt dvojtecka. 
sshd: 192.15.44.5,555.555.55.2
Any technology distinguishable from magic is insufficiently advanced.
3.2.2007 15:32 Nes | skóre: 20 | blog: Nes
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
Odpovědět | | Sbalit | Link | Blokovat | Admin
instalace dennyhosts (je nainstalovany v yast2) moje pokusy - co je spatne ? :-(

[URL=http://img207.imageshack.us/my.php?image=denyhosts1ud8.jpg][IMG]http://img207.imageshack.us/img207/4945/denyhosts1ud8.th.jpg[/IMG][/URL]

zkousel jsem to podle tohoto navodu: http://83.240.20.48/mforum/viewtopic.php?p=2025#2025

Dekuji
ICQ 454104749 zacatecnik v debianu 64 bit, mala znalost anglictiny
3.2.2007 15:48 Nes | skóre: 20 | blog: Nes
Rozbalit Rozbalit vše Re: Utoky na server (SSH???)
jeste seznam nekolika souboru [url=http://img219.imageshack.us/my.php?image=souborydennywh9.jpg][img=http://img219.imageshack.us/img219/3782/souborydennywh9.th.jpg][/url]

verze [url=http://img145.imageshack.us/my.php?image=denyverzeei0.jpg][img=http://img145.imageshack.us/img145/8150/denyverzeei0.th.jpg][/url]

zavislosti [url=http://img529.imageshack.us/my.php?image=denyzavvm6.jpg][img=http://img529.imageshack.us/img529/3594/denyzavvm6.th.jpg][/url] snad to pomuze...
ICQ 454104749 zacatecnik v debianu 64 bit, mala znalost anglictiny

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.