View previous topic :: View next topic |
Author |
Message |
quosek Apprentice
Joined: 07 Mar 2006 Posts: 269
|
Posted: Fri Sep 28, 2007 6:48 am Post subject: Omijanie tcpwrappers (jak to mozliwe ??) |
|
|
czesc
mam na serwerku sshd z tcpwrapperami - konfiguracja nastepujaca (polityka zamknieta):
/etc/hosts.deny
Code: |
/etc/hosts.allow
sshd: .pl
sshd: .net
sshd: 192.168.0.0/255.255.255.0
|
(w allowach mam jeszcze 2 adresy, ale nie sa one zgodne z tymi "atakujacymi")
do tej pory dzialalo to pieknie - wszscy spoza sieci lokalnej, .pl i .net (oraz te 2 ipki bez wzgledu na dns) dostawali piekne odrzucenia polaczenia.
jednak wczoraj udalo sie dojsc do logowania (mam w logach info o brutalnej probie wbicia sie na duza ilosc userow) maszynom z nastepujacych adresow:
- 195.5.238.174
- 67.169.168.115
Ma ktos pomysl dlaczego ? (jeden nie ma reversa, drugi jest z .fr ...)
Zmiana portu nie wchodzi w gre, denyhosts na razie tez unikam jak ognia - bo do tej pory moj mechanizm dzialal o niebo lepiej (mialem jedna probe wbicia na miesiac/dwa a skanowanie logow przez denyhosta i tak by tego nie zablokowalo - ataki trwaly ponizej 5 minut, za kazdym razem udaje sie przebic [przez tcpwrappers] innemu adresowi - wiec nie ma "powtorzen" prob wbicia) |
|
Back to top |
|
|
mirekm Apprentice
Joined: 12 Feb 2004 Posts: 210 Location: Gliwice
|
Posted: Fri Sep 28, 2007 6:09 pm Post subject: |
|
|
Miałem to samo na hardened.
Najpierw zdowngradeowałem ssh do 4.5 i pomogło.
Potem doczytałem, że w nowej wersji openssh zmienili abi i prawdopodobnie ma to jakiś związek z tym.
Nie dalej jak przedwczoraj przekompilowałem troszkę więcej:
tcp-wrappers, iputils, openssh, iptables, psmisc (i jeszcze parę innych pakietów w związku ze zmianą jednej flagi use).
Po tej rekompilacji znów działa.
Tutaj od razu zaznaczam, że nie wiem które pakiety mają związek z problemem w ssh, bo problem dotyczy ewidentnie ssh. Dla przykładu nfs był normalnie blokowany. Żeby było śmieszniej ssh sprawdzał zawartość hosts.deny, ponieważ jeżeli wpisałem do niego na próbę nieprawidłowy wpis, do dostawałem komunikat w logach z ssh. |
|
Back to top |
|
|
quosek Apprentice
Joined: 07 Mar 2006 Posts: 269
|
Posted: Sat Sep 29, 2007 5:19 pm Post subject: |
|
|
zaraz emergne wszystko jeszcze raz
tylko najdziwniejsze jest to, ze te 2 osoby "wpuscilo", zas jakeis 20 min po ostatniej odrzucilo kogos zgodnie z regulami.... |
|
Back to top |
|
|
mirekm Apprentice
Joined: 12 Feb 2004 Posts: 210 Location: Gliwice
|
Posted: Sat Sep 29, 2007 5:41 pm Post subject: |
|
|
Zainstaluj sobie fail2ban, który w przeciwieństwie do denyhosta blokuje hosty korzystając z iptables. Działa zankomicie. |
|
Back to top |
|
|
quosek Apprentice
Joined: 07 Mar 2006 Posts: 269
|
Posted: Sat Sep 29, 2007 7:41 pm Post subject: |
|
|
ale on dziala identycznie jak denyhosts ....
po prostu cyklicznie skanuje logi w poszukiwaniu prob wbic, zlicza je i ew dodaje regulke do firewalla (zamiast do hosts.deny)
z tego co widzialem robi to co 10 min (czesciej tez mozna, ale myslmy rozsadnie - obciazanie systemu) - u mnie sredni czas prob wbicia sie (czyli od pierwszej proby logowania do ostatniej) to najczesciej nie wiecej niz minuta, a potem ten sam komp juz nie probuje sie wbic
czyli atakujacy wyprobuje wszystkie/wiekszosc userow/hasel slownikowych (chyba ze na prawde bedzie mial pecha) i zostanie zablokowany (co i tak nic nie zmieni, bo juz potem w 99% nie probuja sie dobic) - dlatego nie uwazam tego za dobre rozwiazanie |
|
Back to top |
|
|
mirekm Apprentice
Joined: 12 Feb 2004 Posts: 210 Location: Gliwice
|
Posted: Mon Oct 01, 2007 3:55 pm Post subject: |
|
|
Nie koniecznie. fail2ban wykorzystuje dwa sposoby kontroli zmian w logach. Pierwszy standardowy polling co zdefiniowany czas, a drugi wykorzystując inotify, wystarczy zainstalować programik gamin, a kiedy fail2ban go znajdzie, to przełączy się na drugą metodę sprawdzania logów.
Ustawiłem sobie 5 prób zalogowania i dokładnie tyle jest więcej nic się nie pojawia. |
|
Back to top |
|
|
quosek Apprentice
Joined: 07 Mar 2006 Posts: 269
|
Posted: Mon Oct 01, 2007 5:12 pm Post subject: |
|
|
dziki za info z fail2ban (o tym nie wiedzialem - inotify mam w jaderku i tak)
tylko mimo, iz jest to fajne rozwiazania to chyba jeszcze zostane na tcpwrapperach (min do konca marca - potem zobaczymy jakie bede mial polaczenie z netem) - na razie nie mam zainstalowanych (i wkompilowanych) iptablesow bo jestem odgroszony routerem sprzetowym i w sieci lokalnej mam tylko swoje zaufane kompy
a co do "wbic" - wiecej sie nie pojawilo (wszystkie ladnie odrzuca)... dziwne... |
|
Back to top |
|
|
|