Nieudane próby logowania SSH

[Emil 0]

Witam

Mam pewien problem, dostałem maila od HetZner, że ktoś w ciągu ostatnich pięciu dni próbowal się zalogować 218 razy na moj serwer SSH skanując przy tym porty... Oczywiście próby były nieudane...

 

Poniżej oryginał maila:

 

The IP 78.46.**.* has been logged doing a dictionary attack on our SSH

> Server. In total, this IP made 218 access attempts during a few days. A

 

> section of our logs is below, and our server time is GMT-4.

>

> You are being emailed regarding this because you were the specified

abuse

> email contact in the whois query for the IP in question, or your email

was

> the best (or only) choice for our automated script. If you are not the

 

> correct contact and do not wish to get further security notices, we

> recommend adding a specified abuse email to your subnet's whois

> information.

>

 

> Mar 9 07:16:38 94697-web1 sshd[4224]: Failed password for root from

> 78.46.**.* port 34506 ssh2

> Mar 9 07:16:41 94697-web1 sshd[4228]: Failed password for root from

> 78.46.**.* port 34612 ssh2

> Mar 9 07:16:45 94697-web1 sshd[4274]: Failed password for root from

> 78.46.**.* port 34721 ssh2

> Mar 9 07:16:48 94697-web1 sshd[4290]: Failed password for root from

> 78.46.**.*port 34831 ssh2

> Mar 9 07:16:52 94697-web1 sshd[4294]: Failed password for root from

> 78.46**.* port 34938 ssh2

> Mar 9 07:16:59 94697-web1 sshd[4304]: Failed password for root from

> 78.46.**.* port 35040 ssh2

 

itd...

 

Jak myślicie co mogę w tej sprawie zrobić? Oczywiście serwer mam zabezpieczony... Ale z tego co zauważyłem hetzner lubi robić sporo problemow... :/

[Gość patrick]

Zabezpiecz się przed skanowaniem portów (Instalacja i konfiguracja APF to chyba najprostsze) i wywal ssh gdzieś na wysoki port by jakiś nmap szybkim skanowaniem nie znalazł.

[Emil 0]

Niby jakis administrator mi zabezpieczał :/ nie wiem parick czy to nie ty bo kiedys mi cos takiego robiles ;] mam serwer z CJC...

 

no SSH mam na wysokim porcie.

[MasterNETpl 100]

Pobaw się też skryptami które blokują dostęp do maszyny adresom IP które próbują logować się na chama - jest tego trochę w necie, lub też prostych przykładów z paru linijek

ot takie podstawy

[Emil 0]

a może wiesz gdzie tego szukać? Może jakiś link? z opisem czy coś?

[MasterNETpl 100]

To na prawdę jest takie trudne?

 

Począwszy od wspomnianego APF: link

A w google wpiszmy minimum: attack on SSH

Chyba wystarczy by dalej zacząć już samemu szukać?

[P.C. 0]

Niby jakis administrator mi zabezpieczał :/ nie wiem parick czy to nie ty bo kiedys mi cos takiego robiles ;] mam serwer z CJC...

 

no SSH mam na wysokim porcie.

 

Nie niby jakiś administrator tylko Patryk a nie Patrick - to dwie różne osoby.

Pozdrawiam

[Emil 0]

więc takie pytanko...

 

Jak niby został zabezpieczony to czemu skanuje porty?

 

Pozdrawiam

 

Jeszcze pytanko do pana Adriana

 

Czy instalacja APF jest trudna? Da się tym popsuć serwer? :/ Może macie dobra lektórę dla początkujących jak zainstalować co kolwiek na linuksie?

 

Mam serwer ponad ROK ale nie lubie sie nim bawić bo zazwyczaj wszystko psuje...

[P.C. 0]

więc takie pytanko...

 

Jak niby został zabezpieczony to czemu skanuje porty?

Pytanie przesłane do kompetentnej osoby, która wykonywała usługę. Jeśli są pytania do nas proszę o kontakt bezpośredni

Pozdrawiam

[MasterNETpl 100]

Czy instalacja APF jest trudna? Da się tym popsuć serwer? :/

Jeżeli kompletnie nie rozumiesz angielskiego w którym to napisane jest FAQ w podanym wyżej linku to za pewne można coś zepsuć.

Uprzedzając: nie używam APF.

 

Może macie dobra lektórę dla początkujących jak zainstalować co kolwiek na linuksie?

Albo zacznij używać google (przypuszczam, że nie raz czegoś szukałeś w google? ) albo po prostu zatrudnij kogoś do opieki nad serwerem.

 

Mam serwer ponad ROK ale nie lubie sie nim bawić bo zazwyczaj wszystko psuje...

j.w. lub zmień zainteresowania.

[patryk 451]

Emil: Wyciagasz jakies dziwne wnioski. Nie wiem co ma wspolnego skanowanie portow Twojej maszyny z probami logowania sie na czyjes ssh, ktore moga byc dokonywane przez dwulinijkowy skrypt w cronie..

 

Na takim serwerze jak Twoj, ktory jest pelen userow nie da sie prowadzic supportu doraznie na zasadzie "zlece cos jak sie juz totalnie posypie a po adminie i tak poprawie na swoje". Potrzebna jest stala opieka i pewien nadzor.

[pleple 0]

Skoro ktoś skanuje porty z Twojego hosta (i Ty nic o tym nie wiesz) to należy się zastanowić czy nie uznać go za skompromitowanego i nie przeinstalować go od zera. To że kiedyś ktoś Ci coś zabezpieczył to nic nie znaczy. Bezpieczeństwo to nie produkt - to proces...

[Emil 0]

serwer był przeinstalowany i zabezpieczany

 

A cron jest czyściutki

 

Sprawdzałem Logi crona w DA i jest 0Kb jednak po zalogowaniu sie do SSh folder var/log/cron nie istnieje... :/

 

Gdzie zatem zapisują sime logi crona?

 

Dobra znalazlem plik jak syslog ale tak sobie przegladam to tylko jest datasq i sa nieudane logowania ale tylko do poczty...

[Gość patrick]

Ja myślę, iż taki support przez forum to Ci mało pomoże. Potrzebny Ci ktoś kto stale będzie nadzorował maszynę, co napisał z resztą mój imiennik.

[P.C. 0]

Ja myślę, iż taki support przez forum to Ci mało pomoże. Potrzebny Ci ktoś kto stale będzie nadzorował maszynę, co napisał z resztą mój imiennik.

Tu masz rację - Patryk zna ten serwer, gdyż coś już przy nim robił.

Pozdrawiam