[X] Помощник

[Mr-X]

Случайно открыл файл /var/log/messages на сервере и обнаружил попытки входа по фтп с китайского айпишника, нашел инфу как просмотреть логи неудачных попыток входа на сервер, посоветовали /var/log/secure и ужаснулся, теперь ежедневно мой блеклист пополняется кучей IP адресов с которых пытаются попасть на сервер по SSH методом подбора логин/пароля. Вопрос к знающим, (по результатам поисков нашел инфу: "установи hosts.deny. Оно будет автоматом заносить в черный список ип которые не правильно ввели пасс больше чем 3 раза") как настроить, и какие данные должны быть внутри? если у меня в hosts.deny прописано так:

#
# hosts.deny   This file describes the names of the hosts which are
#      *not* allowed to use the local INET services, as decided
#      by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!

Добавлено через 3 минут, 17 секунд:

Да забыл добавить, в данный момент я отключил доступ по SSH всем пользователям и Администратору (root), но это не выход. Я бы техподдержку озадачил хостинга, но у меня в этом месяце закончились 60 минут бесплатной поддержки, меня, 7-го числа кажется, уже взламывали и удалили пакеты апач и пхп, но установили антивирус юные юмористы тире хакеры,

Сообщение отредактировал Mr-X - 2011-02-20, 23:30

[sanes]

Mr-X, ты бы поделился инфой об установленном софте.

[sanes]

hosts.deny у тебя пустой. IP по одному в строку пиши

[Screatch]

Это обычная практика, от этого спасёт лишь правильно настроенный firewall на сервере

Вот взгляните:

В этом списке уже 2000 IP.

Не сохраняйте пароли в браузере, не используйте Windows (*), не вводите их на стрёмных сайтах, имейте firewall на сервере с антибрутом и всё будет хорошо

Сообщение отредактировал Screatch - 2011-02-21, 0:34

[sanes]

Screatch, а венда тут при чём? Предохраняйтесь и не лазейте по сомнительным сайтам. Gftp при всём желании не научил пасс хранить

[Screatch]

Я этот пункт отметил звёздочкой что значит опционально) Не используйте винду, не подхватите заразу, как то так.

[Mr-X]

Mr-X, ты бы поделился инфой об установленном софте.

Вот данные с yum.log

Feb 07 13:46:02 Installed: kbd-1.12-21.el5.i386
Feb 07 13:46:02 Installed: gamin-0.1.7-8.el5.i386
Feb 07 13:46:02 Installed: libcroco-0.6.1-2.1.i386
Feb 07 13:46:02 Installed: libvolume_id-095-14.21.el5_5.1.i386
Feb 07 13:46:02 Installed: ttmkfdir-3.0.9-23.el5.i386
Feb 07 13:46:03 Installed: libXcursor-1.1.7-1.1.i386
Feb 07 13:46:03 Installed: libXres-1.0.1-3.1.i386
Feb 07 13:46:03 Installed: lcms-1.18-0.1.beta1.el5_3.2.i386
Feb 07 13:46:03 Installed: cryptsetup-luks-1.0.3-5.el5.i386
Feb 07 13:46:04 Installed: libXinerama-1.0.1-2.1.i386
Feb 07 13:46:04 Installed: libxml2-python-2.6.26-2.1.2.8.el5_5.1.i386
Feb 07 13:46:06 Installed: bitstream-vera-fonts-1.10-7.noarch
Feb 07 13:46:06 Installed: hwdata-0.213.18-1.el5.1.noarch
Feb 07 13:46:08 Installed: hicolor-icon-theme-0.9-2.1.noarch
Feb 07 13:46:08 Installed: gnome-mime-data-2.4.2-3.1.i386
Feb 07 13:46:09 Installed: pango-1.14.9-8.el5.centos.i386
Feb 07 13:46:11 Installed: gtk2-2.10.4-21.el5_5.6.i386
Feb 07 13:46:12 Installed: GConf2-2.14.0-9.el5.i386
Feb 07 13:46:12 Installed: libglade2-2.6.0-2.i386
Feb 07 13:46:12 Installed: libgnomecanvas-2.14.0-4.1.i386
Feb 07 13:46:13 Installed: gnome-keyring-0.6.0-1.fc6.i386
Feb 07 13:46:14 Installed: libwnck-2.16.0-4.fc6.i386
Feb 07 13:46:14 Installed: notification-daemon-0.3.5-9.el5.i386
Feb 07 13:46:14 Installed: libnotify-0.4.2-6.el5.i386
Feb 07 13:46:14 Installed: libwmf-0.2.8.4-10.2.i386
Feb 07 13:46:15 Installed: pciutils-2.2.3-8.el5_4.i386
Feb 07 13:46:15 Installed: dbus-python-0.70-9.el5_4.i386
Feb 07 13:46:15 Installed: avahi-0.6.16-9.el5_5.i386
Feb 07 13:46:15 Installed: avahi-glib-0.6.16-9.el5_5.i386
Feb 07 13:46:17 Installed: libgnome-2.16.0-6.el5.i386
Feb 07 13:46:18 Installed: hal-0.5.8.1-59.el5.i386
Feb 07 13:46:19 Installed: gnome-vfs2-2.16.2-6.el5_5.1.i386
Feb 07 13:46:20 Installed: libbonoboui-2.16.0-1.fc6.i386
Feb 07 13:46:20 Installed: chkfontpath-1.10.1-1.1.i386
Feb 07 13:46:21 Installed: gnome-mount-0.5-3.el5.i386
Feb 07 13:46:21 Installed: libgsf-1.14.1-6.1.i386
Feb 07 13:46:21 Installed: librsvg2-2.16.1-1.el5.i386
Feb 07 13:46:25 Installed: libgnomeui-2.16.0-5.el5.i386
Feb 07 13:46:25 Installed: pm-utils-0.99.3-10.el5.centos.i386
Feb 07 13:46:25 Installed: 1:xorg-x11-xfs-1.0.2-4.i386
Feb 07 13:46:29 Installed: urw-fonts-2.3-6.1.1.noarch
Feb 07 13:46:31 Installed: ghostscript-fonts-5.50-13.1.1.noarch
Feb 07 13:46:34 Installed: ghostscript-8.15.2-9.12.el5_5.i386
Feb 07 13:46:37 Installed: ImageMagick-6.2.8.0-4.el5_5.3.i386
Feb 19 14:51:49 Installed: GeoIP-1.4.7-0.1.20090931cvs.el5.i386
Feb 19 14:51:55 Updated: python-2.4.3-27.el5_5.3.i386
Feb 19 14:51:57 Updated: initscripts-8.45.30-3.el5.centos.i386
Feb 19 14:51:59 Updated: phpmyadmin-2.11.11.2-1.el5.rf.noarch
Feb 19 14:51:59 Updated: rpmforge-release-0.5.2-2.el5.rf.i386
Feb 19 14:51:59 Erased: geoip

hosts.deny у тебя пустой. IP по одному в строку пиши

Вписать туда это ручная работа, а автоматизировать нельзя? Как посоветовали что бы hosts.deny сам блокировал (или добавлял в блеклист) ип адреса после трех неудачных попыток

Это обычная практика, от этого спасёт лишь правильно настроенный firewall на сервере.

Пока не знаю где это Хотя думаю в ближайшее время с помощью советов и гугл масла в голове прибавится. А самое неприятное, что те кто сами недавно спрашивали советы и просили помощи, чуть набравшись знаний и опыта отказываются помогать (это я про одного из своих партнеров)

[Screatch]

Если ты сам себе хозяин на сервере то рекомендую csf, особенно в связке с cPanel
http://www.configserver.com/cp/csf.html

[Mr-X]

Виталик, меня бы твой список IP из csf.deny очень выручил, что бы забить у себя в hosts.deny

[Screatch]

Не сильно поможет, IP для всех всегда разные.
Просто настрой свой firewall на то что бы блокировал всех кто вводит неправильный пароль больше 3-5 раз.

Сообщение отредактировал Screatch - 2011-02-22, 12:48

[Phoenix84]

Процитирую свое сообщение с другого сайта пот поводу брута паролей:
На сервере и так висят 2 сайта - которые ведут к IP сервера.
А так будет еще 1 бесполезный домен который будет вести на IP.

Вам показать какой мощный брут шел когда то на мой сервер? (пока не заметил)

6411 Jan 12
18331 Jan 13
12367 Jan 14
28950 Jan 15
2590 Jan 16
6139 Jan 17
18822 Jan 18
576 Jan 19
12479 Jan 20
12955 Jan 21
4204 Jan 22
2252 Jan 23
7093 Jan 24
13326 Jan 25
1701 Jan 26
13203 Jan 27
31831 Jan 28
29332 Jan 29
44058 Jan 30
4162 Jan 31
2942 Feb 1

Число слева - кол-во попыток подбора пароля к пользователю root посредством ssh

Следующее сообщение:
Как я сделал:

Перевел SSH на другой порт(четырехзначный)
Ввел нового пользователя
Запретил руту доступ к SSH
Установил sudo
Поставил fail2ban за 2 неверные попытки банит на сутки

Это для системы Debian. Что удивительное - теперь проскакивает всего 4-5 входов за день... Не больше. А то вообще 0

[Screatch]

Есть очень тонкая грань между безопасностью и параноей.

Я думаю у Вас первое..

[Mr-X]

Не сильно поможет, IP для всех всегда разные.
Просто настрой свой firewall на то что бы блокировал всех кто вводит неправильный пароль больше 3-5 раз.

Не могу найти инфу по настройки файрвола, я про систему что бы блокировал сам при попытках неправильного ввода пасса N-го количества раз.

Процитирую свое сообщение с другого сайта пот поводу брута паролей:
На сервере и так висят 2 сайта - которые ведут к IP сервера.
А так будет еще 1 бесполезный домен который будет вести на IP.

Вам показать какой мощный брут шел когда то на мой сервер? (пока не заметил)

Число слева - кол-во попыток подбора пароля к пользователю root посредством ssh

Следующее сообщение:
Как я сделал:

Перевел SSH на другой порт(четырехзначный)
Ввел нового пользователя
Запретил руту доступ к SSH
Установил sudo
Поставил fail2ban за 2 неверные попытки банит на сутки

Это для системы Debian. Что удивительное - теперь проскакивает всего 4-5 входов за день... Не больше. А то вообще 0

Про fail2ban почитал, вроде все красиво, может чуть позже перейду на debian 6 и в нем попробую этот пакет, если не смогу решить другими средствами вопрос.

[Screatch]

В csf

LF_SSHD // Отвечает за допустимое количество неверных попыток входа в ssh. По умолчанию 5
LF_FTPD // Отвечает за допустимое количество неверных попыток входа в ftp. По умолчанию 10
LF_CPANEL // Отвечает за допустимое количество неверных попыток входа в cPanel. По умолчанию 5

[Mr-X]

csf платный, поэтому сейчас не смогу установить.

Добавлено через 1 минут, 33 секунд:

Или нет?))) счас в аську стукну

[Mr-X]

Виталик ты супер))) все работает... точнее сайты работаю и csf стоит, я даже ни чего не поломал, благодаря тебе конечно и твои мудрым советам. БольШОЙ ТЕНКС

[Mr-X]

После установки csf и проверки тестом /etc/csf/csftest.pl выявлено, что нехватает доп.модулей iptables, а именно: ip_tables, ipt_state, ipt_multiport, iptable_filter, ipt_limit, ipt_LOG, ipt_REJECT, ipt_conntrack, ip_conntrack, ip_conntrack_ftp, iptable_mangle, ipt_owner, ipt_recent, iptable_nat, ipt_REDIRECT. Пришлось написать хостеру, но мне отказали

Модули которые Вы укзазали не входят в поставку ядер RHEL изза не стабильной работы. Они ставятся только патчем path-o-matic на ядро. Ядро патчить в OVZ нельзя. Используйте стандартный iptables.

Теперь ищу где в iptables есть конфиги для ограничения количества неверных попыток и блокировки ип адресов, плюс максимальное количество открытых соединений для одного айпишника.

[Mr-X]

Вот нашел конфиг от iptables, что то тут все мутно перевел в гугл текст, ни помогло. Наверно нужно самому компилировать ( слова умные теперь знаю))) ?

# Load additional iptables modules (nat helpers)
#   Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES=""

# Unload modules on restart and stop
#   Value: yes|no,  default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"

# Save current firewall rules on stop.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"

# Save current firewall rules on restart.
#   Value: yes|no,  default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"

# Save (and restore) rule and chain counter.
#   Value: yes|no,  default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"

# Numeric status output
#   Value: yes|no,  default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"

# Verbose status output
#   Value: yes|no,  default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"

# Status output with numbered lines
#   Value: yes|no,  default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"

[Screatch]

Говно хостер

Тогда так - http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Сообщение отредактировал Screatch - 2011-02-23, 16:13

[Mr-X]

Screatch, Спасибо, завтра займусь этим вопросом