abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 09:00 | Nová verze

    Po 17 alfa verzích a 17 beta verzích byla vydána první Release Candidate verze nové major verze 4.0 multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    včera 21:44 | Komunita Ladislav Hagara | Komentářů: 2
    včera 16:11 | Nová verze

    Byla vydána nová verze 1.48 webového prohlížeče Brave (Wikipedie, GitHub). Postavena je na Chromiu 110. V platnost vstoupily změny v Odměnách Brave. Končí virtuální BAT (vBAT). Pro vydělávání na tokenech BAT je nutné propojit úschovný účet s profilem odměn aneb vytvořit si účet na Uphold.

    Ladislav Hagara | Komentářů: 0
    včera 09:00 | Nová verze

    Endless OS byl vydán ve verzi 5.0.0. Přehled novinek i s náhledy v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 5
    včera 08:00 | Nová verze

    Google Chrome 110 byl prohlášen za stabilní. Nejnovější stabilní verze 110.0.5481.77 přináší řadu oprav a vylepšení (YouTube). Opraveno bylo 15 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře (YouTube).

    Ladislav Hagara | Komentářů: 4
    včera 07:00 | Komunita

    Bylo rozhodnuto, že nejnovější Linux 6.1 je jádrem s prodlouženou upstream podporou (LTS). Ta je plánována do prosince 2026. LTS jader je aktuálně šest: 4.14, 4.19, 5.4, 5.10, 5.15 a 6.1.

    Ladislav Hagara | Komentářů: 4
    včera 05:22 | Nová verze

    Byla vydána nová major verze 4.0.0 multiplatformního BitTorrent klienta Transmission (Wikipedie). Přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 0
    7.2. 13:33 | IT novinky

    Do 13. února běží na Steamu přehlídka nadcházejících her Festival Steam Next | únor 2023 doplněná demoverzemi, přenosy a dalšími aktivitami. Demoverze lze hrát zdarma.

    Ladislav Hagara | Komentářů: 0
    7.2. 12:11 | Bezpečnostní upozornění

    Byl vydán xorg-server 21.1.7. Mimo jiné je řešena zranitelnost CVE-2023-0494 zneužitelná k lokální eskalaci práv (pokud X server běží pod právy roota).

    Ladislav Hagara | Komentářů: 4
    6.2. 21:44 | Komunita

    Fedora 38 nabídne celý Flathub. Od Fedory 35 platí, že pokud si v edici Workstation při úvodním nastavení povolíte zdroje třetích stran, nastaví se vám mezi těmito zdroji také Flathub. Ten k dnešnímu dni nabízí zhruba 2000 aplikací ve formátu Flatpak, mezi nimiž naleznete i ty proprietární, které ve Fedoře nejsou k dispozici. Doteď se ale Flathub nastavoval pouze ve filtrované podobě. Dokud si uživatel sám Flathub nepřidal, měl z tohoto

    … více »
    Ladislav Hagara | Komentářů: 2
    Napovídání kódu založené na strojovém učení (např. GitHub Copilot) při programování
     (37%)
     (16%)
     (8%)
     (40%)
    Celkem 63 hlasů
     Komentářů: 4, poslední 3.2. 13:10
    Rozcestník


    Dotaz: Identifikace zdroje ssh útoků

    3.11.2022 10:47 LuděkS | skóre: 31 | blog: publish | Liberec
    Identifikace zdroje ssh útoků
    Přečteno: 1027×

    Zdravím, potřeboval bych radu / nasměrování:

    Situace:

    - firewall se zablokovanými porty, s výjímkou vpn, ssh a VoIP telefonní ústředny povolenými porty:
    - port ssh je 3232 a je přesměrovaný na server ve vnitřní síti, kde ssh běží na standardním portu 22

    SSH server ve vnitřní síti (AlmaLinux) eviduje řadu útoků.
    Root přihlášení pomocí hesla mám samozřejmě vypnutý, veškerou standardní ochranu (firewalld, selinux, fail2ban... atd., mám zapnutou.

    Port na serveru jsem přesměroval na 3232 a od té chvíle se útoky znásobily:

    Od posledního úspěšného došlo k 2233 neúspěšným pokusům o přihlášení

    ...Část výpisu

    sshd[43922]: Received disconnect from 185.174.137.156 port 43838:11: Bye Bye [preauth]
    sshd[43922]: Disconnected from authenticating user root 185.174.137.156 port 43838 [preauth]
    sshd[43924]: Failed password for root from 58.230.203.182 port 50020 ssh2
    sshd[43924]: Received disconnect from 58.230.203.182 port 50020:11: Bye Bye [preauth]
    sshd[43924]: Disconnected from authenticating user root 58.230.203.182 port 50020 [preauth]
    sshd[43928]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.252.87.118  user=root
    sshd[43928]: Failed password for root from 211.252.87.118 port 46264 ssh2
    sshd[43928]: Received disconnect from 211.252.87.118 port 46264:11: Bye Bye [preauth]
    sshd[43928]: Disconnected from authenticating user root 211.252.87.118 port 46264 [preauth]
    sshd[43984]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.41.217.33  user=root
    sshd[43984]: Failed password for root from 124.41.217.33 port 56390 ssh2
    sshd[43984]: Received disconnect from 124.41.217.33 port 56390:11: Bye Bye [preauth]
    sshd[43984]: Disconnected from authenticating user root 124.41.217.33 port 56390 [preauth]
    sshd[43986]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=131.186.47.190  user=root
    sshd[43986]: Failed password for root from 131.186.47.190 port 35196 ssh2
    sshd[43986]: Received disconnect from 131.186.47.190 port 35196:11: Bye Bye [preauth]
    sshd[43986]: Disconnected from authenticating user root 131.186.47.190 port 35196 [preauth]
    sshd[43990]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=185.174.137.156  user=root
    shd[43990]: Failed password for root from 185.174.137.156 port 43858 ssh2
    sshd[43990]: Received disconnect from 185.174.137.156 port 43858:11: Bye Bye [preauth]
    sshd[43990]: Disconnected from authenticating user root 185.174.137.156 port 43858 [preauth]
    sshd[43995]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=167.71.236.26  user=root
    sshd[43993]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.230.203.182  user=root
    sshd[43995]: Failed password for root from 167.71.236.26 port 59268 ssh2
    sshd[43993]: Failed password for root from 58.230.203.182 port 50054 ssh2
    sshd[43995]: Received disconnect from 167.71.236.26 port 59268:11: Bye Bye [preauth]
    sshd[43995]: Disconnected from authenticating user root 167.71.236.26 port 59268 [preauth]
    sshd[43993]: Received disconnect from 58.230.203.182 port 50054:11: Bye Bye [preauth]
    sshd[43993]: Disconnected from authenticating user root 58.230.203.182 port 50054 [preauth]
    sshd[43999]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.252.87.118  user=root
    sshd[43999]: Failed password for root from 211.252.87.118 port 59556 ssh2
    sshd[43999]: Received disconnect from 211.252.87.118 port 59556:11: Bye Bye [preauth]
    sshd[43999]: Disconnected from authenticating user root 211.252.87.118 port 59556 [preauth]
    sshd[44012]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.230.203.182  user=root
    sshd[44012]: Failed password for root from 58.230.203.182 port 50086 ssh2
    sshd[44012]: Received disconnect from 58.230.203.182 port 50086:11: Bye Bye [preauth]
    sshd[44012]: Disconnected from authenticating user root 58.230.203.182 port 50086 [preauth]
    sshd[44016]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=124.41.217.33  user=root
    sshd[44016]: Failed password for root from 124.41.217.33 port 40344 ssh2
    sshd[44016]: Received disconnect from 124.41.217.33 port 40344:11: Bye Bye [preauth]
    sshd[44016]: Disconnected from authenticating user root 124.41.217.33 port 40344 [preauth]

    ...

    Mohu server ještě víc obrnit, ale potřeboval bych pochopit odkud to jde.

    - zvenčí to být nemůže (uvedené porty jsou zavřené).
    - všechny win počítače ve vnitřní síti jsou aktualizované proskenované a chráněné pomocí Bitdefenderu.
    - všechno o čem vím je aktuální

    - zapadá mne: hacknutá telefonní ústředna? Nebo nějaká tiskárna? Nebo něco jiného..?

    Jakým způsobem bych se dopátral kde je problém?
    Přemýšlel jsem, že bych udělal nějaký honeypot server a zkusil to analyzovat.
    Ale možná je nějaký jednodušší systém. Nevíte, prosím někdo?
    Děkuji moc nasměrování!

    Odpovědi

    Max avatar 3.11.2022 11:08 Max | skóre: 71 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Tohle:
    Failed password for root from 124.41.217.33 port 40344 ssh2

    Neznamená, že se ti někdo připojuje na ssh přes port 40344, ale že se ti IP 124.41.217.33 pokouší přihlásit na ssh server. Zmíněný port 40344 je pak port na straně klienta, né serveru.
    Jinými slovy, běžný útok na ssh z internetu. Použij fail2ban s whitelistem pro své IP, nebo rovnou dropuj ssh komunikaci celou a povol si jen své vlastní IP, ze kterých přistupuješ.
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 3.11.2022 11:09 Max | skóre: 71 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Jinak osobně nevidím žádný smysl ve změnách čísla portu. SSH vždy nechávám na portu 22 a ošetřuji si komunikaci firewall pravidly.
    Zdar Max
    Měl jsem sen ... :(
    3.11.2022 13:34 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Díky moc, už jsem Tvou odpověď uviděl. S těmi porty jsem si to myslel podobně, ale nebyl jsem si jistý. Bylo mi divné, že je toho tolik i když není ven povolený standardní port 22. Protože se jedná o síť, která byla v žalostném stavu, rád bych si byl jistý, že to nejde zevnitř. Tak mne to dost znejistělo..
    8.11.2022 09:42 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Z mého pohledu je zcela a naprosto zbytečné mít povolené příhlašování se jménem a heslem zvenčí. A to je v tom logu děje. Pokud je povolené pouze přihlašování pomocí klíčů server zařízne komunikaci okamžitě pokud nemá klíče, k uváděným dialogům o chybných heslech vůbec nedojde. Pro mne je to mnohem podstatnější než změny portů. Na všech systémech, které používám, na ssh jdou útoky.
    3.11.2022 16:43 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Je mi to divné, když píšeš "běžný útok z internetu", protože jinde se to neděje. Není mi jasné, jak by to mělo probíhat: Pokud by byl otevřený port 22, tak to chápu. Pokud je otevřený pouze vysoký port, chápu to méně, ale umím si představit, že by to někdo zkusil skenovat a pak zneužít. Pokud ale ty porty změním a útoky pokračují, tak je mi to divné. Přece na druhé straně nesedí někdo, kdo se snaží kompromitovat pouze tento server. A pokud je to bot, tak proč se to na jiných veřejných IP adresách neděje?

    Potřeboval bych nějak vyloučit ostatní alternativy.
    7.11.2022 15:24 [Jooky]
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Zmena portu na ssh (a inych sluzbach) ti v nicom nepomoze. Jedine co tym dosiahnes je frustracia ludi, co to musia pouzivat (potreba si pamatat port, manualne ho zadavat, a podobne) ... oscanovat IP na otvorene porty spolu aj s identifikaciou beziacej sluzby je vec na par sekund, maximalne par minut. Bezne "utok" prebieha tak, ze si bot najde IP, zisti ake su na nej dostupne sluzby (cez identifikaciu sluzieb, nie porty) a potom uz cielene na konkretnu sluzbu pusti utok.

    Prehodenie sluzby na iny port nezabrani utoku a ani ho nespomali. Kedze stale vela ludi si mysli, ze cele riesenie bezpecnosti je len prehodenie napr. ssh na iny port, tak taketo servre su o to zaujimavejsie (povacsinou veci, ktore by realne poriesili bezpecnost tam pokulhavaju ...)

    Co sa tyka "co s tym" ... Ja nastavujem ssh aby bolo dostupne napr. len cez VPN. Ked uz musi byt dostupne "z vonku", tak to zalimitujem na rozsahy, z ktorych sa bezne ludia pripajaju. Napr. na svojom servri mam pristup povoleny z adries, ktore patria Slovenskym ISP. Od kedy to takto robim tak je pokoj.
    7.11.2022 16:11 GeorgeWH | skóre: 42
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Jedine co tym dosiahnes je frustracia ludi, co to musia pouzivat (potreba si pamatat port, manualne ho zadavat, a podobne)
    Od toho tu predsa mame ~/.ssh/config. Ale inac suhlasim.
    8.11.2022 17:05 [Jooky]
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    V praci mame nieco cez 1000 zariadeni a kazde ma primarne + OOB pripojenie. Prihlasuje sa na nich cca 50 ludi ... ked by niekto prisiel a pomenil porty, tak nie je sanca aby mal kazdy clovek aktualny ssh config + niekto pouziva putty, niekto mobu a niekto linux. Do toho kebyze windows admin porobi nieco podobne s rdp, tak mozu rovno zrusit cely support ... ked ma niekto jeden server a prihlasuje sa sam, tak je to ine.
    7.11.2022 16:55
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Ssh pouze přes VPN je dobré do té doby, dokud funguje VPN ;-).
    8.11.2022 14:37 Vtipnéř | skóre: 37 | blog: Vtipnéřův blog | Brno
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Zmena portu na ssh (a inych sluzbach) ti v nicom nepomoze.
    Všechny zdravím.

    Změnu čísla portu taky používám, ale pro ssh mám nastaveno přihlašování jen s použitím klíče. Nicméně ještě mi v domácí síti běží VDR s webovým rozhraním VDRadmin-AM pro nastavování nahrávání, kam se občas hlásím z venku a z různých adres. Z diskuse usuzuji, že to asi není moc bezpečné, takže prosím o radu, jak by to bylo lepší, napadá mne např. použít VPN či ssh tunel.

    Díky.

    Jirka
    Opening Windows is better than washing them. Clearing Windows (e.g. erasing or deleting) is even much better.
    Max avatar 8.11.2022 16:10 Max | skóre: 71 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Tak jsi si odpověděl, VPN nebo SSH tunel :).
    Zdar Max
    Měl jsem sen ... :(
    8.11.2022 17:22 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Řeším to stejně (VPN). Jen mne překvapila intenzita, protože ssh servery jsou i na jiných místech a nikde to nebylo tak dramatické. Změnu portu používám jako doplňkovou věc spolu s ostatními zabezpečeními, protože to dosud výrazně zmírňovalo tlak na server (oproti standardnímu portu 22). Díky!
    8.11.2022 17:42 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Před pár lety, když jsem ještě nepřešel zcela na klíče. byla u mne frekvence pokusů o login tak 3 - 20 za minutu. Takže to byly tisíce za den. A změna portu nemá smysl, počet útoků se nezměnil. Co to změní je přihlašování pouze klíči, kdy útočník je zaříznut dříve než odesílá jméno/heslo. Pak ví že nemá šanci a zaznamená se to i do obecných databází, ke kterých čerpají další boty a útoky přestanou.
    Petr Fiedler avatar 9.11.2022 00:58 Petr Fiedler | skóre: 35 | blog: Poradna | Brno
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Napr. na svojom servri mam pristup povoleny z adries, ktore patria Slovenskym ISP.

    Víte prosím někdo, kde získat aktuální seznam rozsahů českých IP adres? Já jsem našel tohle, ale ten web na mě moc důvěryhodně nepůsobí a navíc je ten seznam z roku 2016.

    @[Jooky]: To do toho konfiguráku zadáváš úplně všechny ty rozsahy, nebo něco vynecháváš?

    10.11.2022 11:40 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Jediné, co mne od klíčů odrazuje je to, že se potřebuju přihlašovat z různých strojů a míst. Obávám se, že na klíč někde zapomenu a budu v háji. Synchronizovat klíče přes nějaký cloud se mi nechce (ledaže bych to ještě šifroval) a tahat to s sebou na klíčence už vůbec..
    10.11.2022 13:24 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Tak v této chvíli už vůbec nerozumím v jaké rovině bezpečnosti se pohybuješ. A o čem se vlastně vůbec bavíme. Ty "různé stroje" jsou linux nebo WIN? Jsi za ně bezpečnostně zodpovědný? Věříš, že tam není keylogger, třeba jako útok? Kolik takových systémů je? Pokud jsou to cizí stroje, věříš správcům a jejich bezpečnostním protokolům? Jinak je to prostě ruleta a je vlastně skoro jedno co s tím děláš?

    Vycházel jsem z toho, že normálně mám všude s sebou notebook. To je mé bezpečné pracoviště, v něm mám své klíče a z něj se připojuji kam potřebuji. Max jsou někde ještě stroje, za které zodpovídám bezpečnostně, nad nimiž mám moc a do nich si ty klíče mohu nahrát také. Odjinud se nikdy nijak nikam nepřipojuji. Připojení s heslem (silným) mám výjimečně povolené v nějaké nejmenší síti (domácí síť, VLAN v servrovně ap.) v níž je systém, čistě proto abych ve výjimečné situaci, když by něco bylo s klíčem tak se k systému dostal jsem-li fyzicky tak, aby bezpečnost byla zajištěna i jinak.
    Petr Fiedler avatar 10.11.2022 13:33 Petr Fiedler | skóre: 35 | blog: Poradna | Brno
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Vycházel jsem z toho, že normálně mám všude s sebou notebook. To je mé bezpečné pracoviště, v něm mám své klíče a z něj se připojuji kam potřebuji. Max jsou někde ještě stroje, za které zodpovídám bezpečnostně, nad nimiž mám moc a do nich si ty klíče mohu nahrát také. Odjinud se nikdy nijak nikam nepřipojuji. Připojení s heslem (silným) mám výjimečně povolené v nějaké nejmenší síti (domácí síť, VLAN v servrovně ap.) v níž je systém, čistě proto abych ve výjimečné situaci, když by něco bylo s klíčem tak se k systému dostal jsem-li fyzicky tak, aby bezpečnost byla zajištěna i jinak.

    +1

    10.11.2022 15:35 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    No ano, mám to také tak. Ale ne všude.
    10.11.2022 15:34 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků

    Předně: Díky za snahu a za odpověď.
    Moje cestování je na jiné téma.

    - ano, všechny stroje jsou linux
    - ano, jsem za ně odpovědný
    - nevěřím, vím, že tam nejsou keyloggery

    Notebook s sebou vždy vozti nemusím, práci mám uloženou v cloudu.
    Tam ale klíče nahrávat nechci. Navíc, může nastat výjimečná situace, kdy se potřebuji připojit
    a nemám s sebou notebook. Například na cestě, z tabletu a podobně.

    Pokud se připojuji silným heslem, připojím se odkudkoliv. 
    Pokud to přehodím na klíče (což není technicky problém),
    může nastat situace, kdy se z jiného zařízení nepřipojím,
    si tam zapomenu klíče přidat.

    Nebo musím vymyslet, jak klíče zabezpečeným způsobem
    synchronizovat. Tomu se vůbec nebráním, jen jsem zatím neměl čas se tím zabývat.

    11.11.2022 09:02 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Nebo musím vymyslet, jak klíče zabezpečeným způsobem
    synchronizovat. Tomu se vůbec nebráním, jen jsem zatím neměl čas se tím zabývat.
    Tys s klíči nikdy nepracoval, že. Protože nevím o čem mluvíš. Jaké vymyslet "synchronizovat"? Máš systém A na kterém pracuješ a systém B (C,D) do kterého se loguješ s heslem.
    1. Na A pustíš ssh-keygen který ti lokálně vygeneruje klíče a na konci specifikuješ lokální heslo pro lokální otevření soukromého klíče. Na man najdeš, jak si navolit parametry pro generování klíče, ale i default je bezpečný.
    2. Pak provedeš ssh-copy-id B což je skript používající, kterému zadáš heslo k B a který ti nakopíruje na B veřejný klíč ssh tunelem (opět si přečti man). (samozřejmě lze klíč nakopírovat i přes sftp) A to je vše.
    3. Poslední bod zopakuješ pro systémy C, D atd. Jednou a napořád. To je "synchronizace".
    4. Jakékoli další ssh B chce nejdříve po tobě lokální heslo ke klíči, a pokud pracuješ tak, že se loguješ, odloguješ, znovu zaloguješ, atd. tak to otravuje psát znovu a znovu heslo a ssh-agent ti na začátku klíče otevře s heslem a pak jednotlivé ssh si pro ně šáhnou do agenta
    základní výhoda je v tom, že veškerá práce s hesly se děje lokálně. a tímhle si všechny počítače na kterými vládu propojíš klíčí a máš pokoj. Nahození komunikace s klíči je otázka dvou příkazů a cca 5-20 vteřin při generování hesla. Navíc si to můžeš zavádět postupně až nakonec zjistíš, že již žádné vzdálené hesla nepotřebuješ.
    11.11.2022 11:24 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Předpokládáš špatně. Vše co píšeš mám za sebou mnohokrát. Jde mi o jinou věc. Nechci to tu vysvětlovat, protože to je jiné téma. Každopádně díky.
    11.11.2022 12:10 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Ok. Když sdělíš jen část problému fajn, je to tvé rozhodnutí.

    K původní otázce i když myslím, že to už zaznělo. Ať máš ssh kdekoliv, na jakémkoliv portu najdou to, a pokud se dostanou k autentizaci jméno a heslo, zaznamenají do databází a z ní to bude čerpat více botnetových sítí. Kdysi jsem si udělal test, že jsem spustil ssh na portu 80 a na portu přes 50000, kde server nemá co dělat. Našli to stejně. Ono zase algoritmicky není takový problém naposílat SYN packet na všechny porty (klidně z různých strojů botnet sítě) a u portů, kde dostanou SYN/ACK postupně zkusit, co tam běží, zvláště, když ssh je jeden z mála protokolů, které port mění. file2ban pomůže, ale problém nevyřeší. Jak jsem psal, dostal jsem se někde i do situace, kdy pokusů o login byly tisíce za hodinu, file2ban totiž tomu botnetu tím zaříznutím také sdělí, kolik pokusů je možné před zaříznutím (pokud programátoři botnetu nejsou blbí, tak tohle je jedna s logických informací, která by v té databázi mohla být - adresa,port, existence F2B, počet volných pokusů, relaxační čas kdy systém blokaci uvolní)
    11.11.2022 12:23 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Jasně, rozumím a souhlasím. Díky.
    11.11.2022 12:35 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků

    PS: Ještě odpovídám, protože si vážím tvého času a odpovědí.
    Nejde o to, že bych něco nechtěl sdílet, ale o to, že původní otázka byla o identifikaci útoků.

    Řeším paralelně x věcí současně a v tomto případě mne ten tlak na přesměrovaný port prostě překvapil.

    Jde o společnost, která měla v minulosti vážné bezpečnostní problémy,
    mimo jiné hacknutý kamerový systém, který byl zneužitý k nebezpečnému provozu atd., atd.
    Postupně se to dává celé dohromady. Souvisí to s energetikou a současnou bezpečnostní situací.
    To je jedna velká oblast.
    Druhá věc je nastavení mého pracovního ekosystému a jeho zabezpečení.
    Třetí věc je jak to všechno bezpečně propojit.
    Čili je to o dost složitější, na jiné téma, než byl původní dotan (nejde tedy jen o to jak nastavit klíče).

    Díky!

    11.11.2022 12:57 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Když přednáším studentům o bezpečnosti, tak jim mimo jiné říkám, že je třeba si nastavit bezpečnostní perimetry, do perimetru si nastavit jeden jedinný vstupní bod s definovanou kontrolou, do vyšších úrovní procházet několik perimetrů a několik kontrolních bodů. Např. kdysi jsem trochu měl info o managemetu jednoho DNS root serveru. Ten jako server měl pouze a jedině DNS a nic jiného na té adrese neběželo, a management byl prováděn tak, že na jiných dvou adresách, připojených do zcela jiných a různých dvou sítí dvou různých poskytovatelů běžely dva servery s pouze a jen ssh a s přístupem přes klíče, které fyzicky byly ve stejné servrovně a z nich přes prastarou seriovou linku bylo jediné spojení na hlavní DNS server.
    11.11.2022 10:53 Peter Golis | skóre: 63 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Notebook s sebou vždy vozti nemusím, práci mám uloženou v cloudu.
    Ehm, toto vyzerá na zásadný bezpečnostný problém. Človek by mal mať svoj pracovný nástroj počas výkonu práce, a ten nástroj má spĺňať určité bezpečnostné štandardy. Nejaký kryptovací kľúčik alebo iný elektrický občiansky preukaz nestačí.

    Hint: keylogger na heslo alebo pin pre kryptokľúčik, hasák a podobne.
    11.11.2022 11:26 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    No právě. Mně jde ale o jinou věc, kterou v souvislosti s tím řeším - ale to už se odkláníme od původní otázky. Díky.
    11.11.2022 11:41 Peter Golis | skóre: 63 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Blbé je že aj keby si so sebou nosil MikroPC (vo forme špeciálneho telefónu ktorý pripojíš na cudzie zariadenie typu klávesnica a externý monitor), tak si nepomôžeš. A kredence ti kľudne zoberú. Aj keby si to nosil, tak dostať hasákom po pätách zlomí každého.

    Bez vlastného a zabezpečeného NB nemáš ani náznak riešenia.

    PS: Dävno pradávno som sa zabával keď som si nahodil Linux Desktop na HTC Rhodium. Tak malý NB s vysúvacou QWERTY klávesnicou a kovovým rámom videl málo kto.
    11.11.2022 11:58 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků

    Rozumím. To už se ale bavíme IMHO o nějakém vysokém levelu armádního zabezpečení státního tajemství ( s tím hasákem).

    Mně šlo o to - ale to už se odchylujeme od původní otázky - že pokud se přihlašuji se silným heslem, které znám jen já,
    přihlásím se v případě krajní nouze odkkudkoliv na planetě.
    Pokud vše nastavím na klíče a nebudu mít s sebou svoje zařízení, jsem v háji.
    Většinu obsahu, který potřebuji k práci, mám na cloudu.
    Jednotlivá zařízení, ze kterých pracuju, synchronizuji také tak, abych mohl na jednom přestat pracovat
    a na druhém mohl pokračovat (jedno kde se geograficky nacházím).
    Vše je samozřejmě šifrované, včetně disků a přenosu.

    Takže by asi nebyl problém "synchronizovat" i klíče (čemuž logicky neporozumněl lertimir, protože jsem mu to dostatečně nevysvětlil).
    Nechce se mi to tu celé popisovat, protože je to jiné téma než na které jsem se ptal.

    Když to shrnu, přemýšlel jsem nahlas:
    - Zaskočila mne úroveň útoků na přesměrovaném ssh portu, protože v ostatních případech se to v takovém rozsahu neděje.
    - přemýšlel jsem (nahlas) o tom, jak to udělat, když vypnu přihlášení heslem a přejdu na klíče, abych si někdy nezapomněl
    zařízení, a nebyl (typicky, když jsem hodně daleko), v háji.
    Trochu se obávám svěřit tyto věci cloudu. Asi zbytečně, pokud šifruji přenos na straně klientů i serverů.
    Byl to jen takový zbrklý "paranoidní" impuls. V podstatě to asi nebude problém.

    Díky!

    11.11.2022 12:32 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků

    Pokud vše nastavím na klíče a nebudu mít s sebou svoje zařízení, jsem v háji.
    Většinu obsahu, který potřebuji k práci, mám na cloudu.
    Jednotlivá zařízení, ze kterých pracuju, synchronizuji také tak, abych mohl na jednom přestat pracovat
    a na druhém mohl pokračovat (jedno kde se geograficky nacházím).
    :-) Tady je hezky vidět, jak každý uvažujeme v jiném bezpečnostním kontextu. Pro mne v kontextu, který popisuješ by vzniklo. Pokud nebudu mít dostatečnou konektivitu jsem v háji., protože se pohybuji i na lokacích, kde konektivita je mizerná - v hluboké přírodě. A proto představa, že nemám své zařízení je nemyslitelná. Nebo pokud ho nemám, nepracuji.

    A poslední poznámka, lokální soukromý klíč k ssh s kvalitním heslem je bezpečný. Tedy i když by útočník jej vyndal soubor s ním z těch zašifrovaných disků, cloudu, lokálního zařízení tak bez hesla (nebo hasáku) se ke klíči nedostane.

    11.11.2022 12:40 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Jasně. S bezpečností klíčů nemám vůbec žádný problém. :-)
    10.11.2022 12:28 xxl | skóre: 24
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Na povolování / blokování podle států bývalo rozšíření xtables-addons, konkrétně xt_geoip.ko. Ale bylo nutné pravidelně aktualizovat databázi ip adres pro jednotlivé státy. Což se stahovalo někde z webu https://www.maxmind.com/en/geoip2-databases pomocí xt_geoip_dl_maxmind. Bývalo to zadarmo, ale už není.
    Petr Fiedler avatar 10.11.2022 12:34 Petr Fiedler | skóre: 35 | blog: Poradna | Brno
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků

    Díky moc!

    10.11.2022 21:49 [Jooky]
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    @[Jooky]: To do toho konfiguráku zadáváš úplně všechny ty rozsahy, nebo něco vynecháváš?
    Cele rozsahy pre koncovych uzivatelov. Udaje som si pozbieral sam. Napr. teraz som v sieti Antik Telecomu. Pozrel som si aku mam WAN a tu pohladal v ripe databaze. Vysledok:
    inetnum:        88.212.36.0 - 88.212.43.255
    netname:        ANTIK_NETWORK
    descr:          ANTIK PAT Customers
    country:        SK
    admin-c:        ATIN4-RIPE
    tech-c:         ATIN4-RIPE
    mnt-by:         ANTK-MNT
    mnt-domains:    ANTK-MNT
    status:         ASSIGNED PA
    created:        2012-08-15T09:53:43Z
    last-modified:  2017-08-10T14:43:47Z
    source:         RIPE
    
    role:           ANTIK Telecom IP Network Administrator
    address:        Carskeho 10, Kosice, Slovakia
    admin-c:        ZILL1-RIPE
    tech-c:         ZILL1-RIPE
    nic-hdl:        ATIN4-RIPE
    mnt-by:         ANTK-MNT
    created:        2017-08-10T14:38:16Z
    last-modified:  2017-08-10T14:41:33Z
    source:         RIPE # Filtered
    
    % Information related to '88.212.32.0/19AS42841'
    
    route:          88.212.32.0/19
    descr:          ANTIK_NETWORK_2
    origin:         AS42841
    mnt-by:         ANTK-MNT
    created:        2009-11-12T10:49:08Z
    last-modified:  2009-11-12T10:49:08Z
    source:         RIPE
    
    cize medzi povolene ide 88.212.32.0/19 ... kedze viem, ze antik ma dva rozsahy, tak som si podobne pohladal druhy a oba mam v configu ... vynechavat z toho nema velmi zmysel, lebo na NAT a priradovanie IP nemam dosah u ISP.
    Petr Fiedler avatar 11.11.2022 09:58 Petr Fiedler | skóre: 35 | blog: Poradna | Brno
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků

    OK, dík.

    3.11.2022 11:26 Peter Golis | skóre: 63 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Námatkovo vybratá posledná IP adresa:
    $ geoiplookup 124.41.217.33
    GeoIP Country Edition: NP, Nepal
    
    To nevyzerá že by boli porty na exponované služby uzavreté. Najmä ak máš SSH exponovaný na WAN porte 3232 a cez PAT je presmerovaný na LAN port 22.

    Tie čísla portov z logu znamenajú niečo iné ako si myslíš.

    Skús si pozrieť čo s tými útokmi urobil fail2ban, logy sú /var/log/fail2ban.log*

    Ak ti vadí tak malý počet odrazených útokov, tak zníž treshold na ban, alebo si nastav geo-blocking firewall. Neviem si predstaviť kto chodí na služobky do Nepálu, Vietnamu alebo Kórei. To vyzerá na klasický útok z botnetu zloženého so zavírených počítačov.
    3.11.2022 12:15 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků

    Díky. Ještě jsem změnil port a koukám, že jsem zapomněl na změnu u fail2ban.conf. Takže jsem to napravil, právě to běží..
    Ještě raději zkontroluji a poladím nastavení (time has too large deviation..).

    Ano, mám otevřený port pro ssh na firewallu, který je nyní přesměrovaný na stejně vysoký port na ssh serveru. 
    Co, prosím, myslíš, tím, že čísla portů z logu znamenají něco jiné, než si myslím, že znamenají (chtěl bych to pochopit)?

    Také si myslím, že je to klasický útok z botnetu ze zavirovaných počítačů. 
    Pokud by to bylo zvenčí, jak to, že se to dostane přes vysoký port "dovnitř"?
    Myslel jsem, že botnety zkouší ssh útoky přes 22. 
    A pokud je to zevnitř, potřeboval bych právě zjistit odkud to jde.
    Díky moc!

    Max avatar 3.11.2022 12:54 Max | skóre: 71 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Nerozumíš odpovědi v prvním komentáři, nebo jsi ho vůbec nečetl?
    Zdar Max
    Měl jsem sen ... :(
    3.11.2022 13:30 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Ahoj, nečetl, protože jsem si jí vůbec nevšiml. Z nějakého důvodu se mi příspěvky od Tebe zobrazují zabalené jako jeden řádek, takže jsem to přehlédl.
    Max avatar 3.11.2022 13:33 Max | skóre: 71 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Tak to mě asi blokuješ, ne?
    Zdar Max
    Měl jsem sen ... :(
    3.11.2022 13:35 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Proč bych to dělal?
    Max avatar 3.11.2022 13:37 Max | skóre: 71 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Podle toho screenshotu mě blokuješ. Proč, to netuším. Rozbalit -> Neblokovat
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 3.11.2022 13:39 Max | skóre: 71 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Jinak koukám, že v seznamu blokkování (Profil -> Nastavení účtu -> seznam blokovaných uživatelů) máš i další lidi...
    Zdar Max
    Měl jsem sen ... :(
    3.11.2022 13:42 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Blokování vypnuto. Vůbec to ale nechápu. Nejsem si vědomý, že bych to někdy použil.. :-( Každopádně díky!
    3.11.2022 13:45 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    ... tedy, že bych to použil ve Tvém případě. U některých trollů tomu rozumím. Jen si pamatuju, že se od nějaké doby Tvoje příspěvky zobrazovaly zabalené. Říkal jsem si, že to tak máš asi schválně. Fakt nechápu. Ale nevadí, je to opravené. Ještě jednou díky.
    3.11.2022 17:32 Peter Golis | skóre: 63 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    potřeboval bych právě zjistit odkud to jde
    Pokiaľ tie IP adresy z logov nie sú z lokálneho rozsahu (ktorý určite poznáš), tak si si všimol príklad použitia príkazu geoiplookup. Len decentne podotknem že zadarmová databáza IP adries je "mierne" zastaralá, takže to občas hodí nesprávny údaj.

    Na mňa zopár krát vyštekol niekto z IP 179.60.147.159 ktorú to reportuje ako ruskú IP aj keď to podľa whois patrí Venezuelskej SAFE-VPN.MOBI. Na ten kontinent sa ešte rusko nedostalo.

    Keď som znížil počet pokusov na banovanie, tak to u mňa za posledné dni vyzerá top 5 krajín takto:
    CountryCount
    US237
    VN136
    RU101
    CN83
    BR46

    PS: Botnety bežne skenujú aj neštandardné porty. A podľa odozvy služby vyberú útok. Navrhoval by som pomeniť heslá na nejaké zložitejšie, alebo prejsť čisto na autentifikáciu kľúčmi.
    8.11.2022 15:52 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    Zajímavé. Překvapilo mne množství pokusů na nestandardním portu. Přihlašování heslem je vypnuté. Zkusil jsem ssh zablokovat na firewallu a skutečně byly všechny útoky zvenčí (chtěl jsem si být jistý). Díky moc!
    8.11.2022 17:12 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Ientifikace zdroje ssh útoků
    přihlašování heslem vypnuté není.

    položka
    Failed password for root from 58.230.203.182 port 50020 ssh2
    se tam nemůže vyskytovat. To lze jedině pokud se dostane přihlašování k heslu. Je to možná PAM autentizace.

    pokud si udelám ssh localhost a mám přihlašování jen klíči a samozřejmě nemám klíč u sebe dopadne to takto a žádné "failed password" tam není
    lis 08 17:04:58 carbon sshd[29225]: Connection closed by authenticating user xxxxy ::1 port 36242 [preauth]
    lis 08 17:04:58 carbon kernel: audit: type=1109 audit(1667923498.616:188): pid=29225 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:bad_ident grantors=? acct="?" exe="/usr/bin/sshd" hostname=::1 addr=::1 terminal=ssh res=failed'
    lis 08 17:04:58 carbon audit[29225]: USER_ERR pid=29225 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:bad_ident grantors=? acct="?" exe="/usr/bin/sshd" hostname=::1 addr=::1 terminal=ssh res=failed'
    
    3.11.2022 13:48 LuděkS | skóre: 31 | blog: publish | Liberec
    Rozbalit Rozbalit vše Re: Identifikace zdroje ssh útoků
    Díky všem! S těmi porty to chápu, jen jsem si nebyl jistý. Provozuju vícero ssh serverů, ale nikde jsem neměl tolik útoků jako je zde. Tak mne to trochu vyplašilo. Rád bych přišel na to, proč je to tady o tolik jiné. Navíc před nějakou dobou tam došlo k hacknutí kamer včetně dost nebezpečného provozu (to jsem u toho ještě nebyl), tak jsem trochu vyplašený z každé (pro mne) neobvyklé situace. :)
    3.11.2022 15:34 Andrej | skóre: 50 | blog: Republic of Mordor
    Rozbalit Rozbalit vše Re: Identifikace zdroje ssh útoků
    AuthenticationMethods publickey
    KbdInteractiveAuthentication no
    ChallengeResponseAuthentication no
    PermitRootLogin no
    MaxAuthTries 3
    MaxSessions 2
    
    Max avatar 3.11.2022 15:53 Max | skóre: 71 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Identifikace zdroje ssh útoků
    VMWare nasadil do vCenter "MaxAuthTries 2". Dělá to pak zajímavou věc. Nejdřív se inicializuje ověření certifikátem, pokud neprojde, inicializuje se ověření pomocí uživatele+hesla. Fór je v tom, že ten druhý krok je brán jako druhý pokus. Tím pádem ten, kdo používá normálního ssh klienta a neudělá bypass v podobě "-o PubkeyAuthentication=no", tak se ani k loginu nedostane a logy by to mělo dál zkrátit. Klientovi rovnou vyskočí "Too many authentication failures".
    To jen taková zajímavůstka :).
    Zdar Max
    Měl jsem sen ... :(
    6.11.2022 09:16 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Identifikace zdroje ssh útoků
    No jestli dobře počítám, tak jeden pokus o certifikát by vám měl nechat jeden pokus na heslo, ne? Ovšem ve chvíli, kdy máte v tom SSH klientu klíče dva (např. RSA a ECDSA)...
    Quando omni flunkus moritati
    Max avatar 6.11.2022 15:17 Max | skóre: 71 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Identifikace zdroje ssh útoků
    Přesně tak.
    Zdar Max
    Měl jsem sen ... :(
    Petr Fiedler avatar 3.11.2022 16:11 Petr Fiedler | skóre: 35 | blog: Poradna | Brno
    Rozbalit Rozbalit vše Re: Identifikace zdroje ssh útoků

    +

    PasswordAuthentication=no
    Petr Fiedler avatar 3.11.2022 16:47 Petr Fiedler | skóre: 35 | blog: Poradna | Brno
    Rozbalit Rozbalit vše Re: Identifikace zdroje ssh útoků

    *Bez toho "=".

    11.11.2022 13:07 LarryL | skóre: 26
    Rozbalit Rozbalit vše Re: Identifikace zdroje ssh útoků
    A co takhle klepání na porty?

    Na serveru budeš mít program (script), který bude sledovat porty. Jakmile vzdáleně klepneš na tebou určené porty ve správném pořadí v časovém rozsahu několika sekund, tak ten program (script) něco vykoná. To "něco vykoná" může být otevření portu 22 nebo povolení přihlášení heslem pro SSH. Jakmile se spojení SSH ukončí, tak se to vrátí do výchozího stavu.

    Takže bys např. měl na serveru běžícího SSH daemona jen pro přihlášení klíčem a druhá instance SSH daemona pro přihlášení heslem by se ti spustila až při poklepání na ony porty.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.