Detta är säkert ett nybörjarfel men sedan en tid tillbaka har jag börjat se massor entries av typen "Did not receive identification string" på min pfsense box:
Jul 27 23:11:50 sshd[36717]: Did not receive identification string from 192.168.1.15
Jul 28 00:11:50 sshd[46901]: Did not receive identification string from 192.168.1.15
Jul 28 01:11:50 sshd[56945]: Did not receive identification string from 192.168.1.15
Jul 28 02:11:50 sshd[3276]: Did not receive identification string from 192.168.1.15
Jul 28 03:11:50 sshd[13470]: Did not receive identification string from 192.168.1.15
Jul 28 04:11:50 sshd[23626]: Did not receive identification string from 192.168.1.15
Jul 28 05:11:50 sshd[33722]: Did not receive identification string from 192.168.1.15
Jul 28 06:11:50 sshd[43915]: Did not receive identification string from 192.168.1.15
Jul 28 07:11:51 sshd[54102]: Did not receive identification string from 192.168.1.15
Jul 28 08:11:50 sshd[245]: Did not receive identification string from 192.168.1.15
Jul 28 09:11:50 sshd[10485]: Did not receive identification string from 192.168.1.15
Jul 28 10:11:50 sshd[20696]: Did not receive identification string from 192.168.1.15
Jul 28 11:11:51 sshd[30754]: Did not receive identification string from 192.168.1.15
Jul 28 12:11:50 sshd[40956]: Did not receive identification string from 192.168.1.15
etc....
Jul 29 02:13:27 ubuntu sshd[25921]: Did not receive identification string from 192.168.1.15
Jul 29 03:13:24 ubuntu sshd[26512]: Did not receive identification string from 192.168.1.15
Jul 29 04:13:23 ubuntu sshd[27103]: Did not receive identification string from 192.168.1.15
Jul 29 05:13:24 ubuntu sshd[27692]: Did not receive identification string from 192.168.1.15
Jul 29 06:13:23 ubuntu sshd[28283]: Did not receive identification string from 192.168.1.15
Jul 29 07:13:24 ubuntu sshd[29027]: Did not receive identification string from 192.168.1.15
Jul 29 08:13:26 ubuntu sshd[29618]: Did not receive identification string from 192.168.1.15
Jul 29 09:13:26 ubuntu sshd[30209]: Did not receive identification string from 192.168.1.15
Jul 29 10:13:27 ubuntu sshd[30800]: Did not receive identification string from 192.168.1.15
Jul 29 11:13:27 ubuntu sshd[31393]: Did not receive identification string from 192.168.1.15
Jul 29 12:13:30 ubuntu sshd[311]: Did not receive identification string from 192.168.1.15
etc....
Så min fråga är, har någon rootat min ubuntuserver(som är 192.168.1.15) och försöker brutforca fram lösen till min pfsense box eller vad betyder dessa entries?
När någon försöker knäcka lösen ser det annorlunda ut. Man brukar få typ "Failed password for root from nnn.nnn.nnn.nnn port nn ssh2".
Men uppenbarligen försöker din server använda port 22 en gång i timmen. Kolla i /etc/crontab, /etc/cron.d/ och /etc/cron.hourly/ på servern. Körs någonting därifrån som skulle kunna tänkas att kontakta pfsense-burken?
Lars skrev:När någon försöker knäcka lösen ser det annorlunda ut. Man brukar få typ "Failed password for root from nnn.nnn.nnn.nnn port nn ssh2".
Men uppenbarligen försöker din server använda port 22 en gång i timmen. Kolla i /etc/crontab, /etc/cron.d/ och /etc/cron.hourly/ på servern. Körs någonting därifrån som skulle kunna tänkas att kontakta pfsense-burken?
# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
# m h dom mon dow user command
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#
/etc/cron.d/ innehåller bara en php5 mapp som är tom och /etc/cron.hourly/ är helt tom :S...
Ett tips om du vill göra din server säkrare mot bruteforce attacker utifrån är att installera programmet fail2ban som helt enkelt blockerar personer som gör ett visst antal felaktiga inloggningar under en viss tid. Blockeringen är tidsbestämd till tio minuter som standard så man behöver inte oroa sig för att man ska bli blockerad från sin egen server
sudo apt-get install fail2ban
En annan bra grej är ju att stänga av PermitRootLogin för SSH. Det absolut vanligaste användarnamnet som man försöker hacka sig in på.
Lycka till.
/L
Ett väl utfört arbete ger en inre tillfredsställelse och är den grund var på samhället vilar. Linuxuser - Fri webhosting åt folket!
IRC: Louie` @ #kurbitz freenode - Jabber: PM för jabber
Louie skrev:Ett tips om du vill göra din server säkrare mot bruteforce attacker utifrån är att installera programmet fail2ban som helt enkelt blockerar personer som gör ett visst antal felaktiga inloggningar under en viss tid. Blockeringen är tidsbestämd till tio minuter som standard så man behöver inte oroa sig för att man ska bli blockerad från sin egen server
sudo apt-get install fail2ban
En annan bra grej är ju att stänga av PermitRootLogin för SSH. Det absolut vanligaste användarnamnet som man försöker hacka sig in på.
Lycka till.
/L
Tack för tipset, lägger in det bums!
Rootlogin via SSH är redan avaktiverat
Jag tror att jag hittade tjänsten som skapade sshd loggningen, det var zabbix server/agent som en jag delar servern med installerat, så nu var det löst.
Louie skrev:Ett tips om du vill göra din server säkrare mot bruteforce attacker utifrån är att installera programmet fail2ban som helt enkelt blockerar personer som gör ett visst antal felaktiga inloggningar under en viss tid. Blockeringen är tidsbestämd till tio minuter som standard så man behöver inte oroa sig för att man ska bli blockerad från sin egen server
sudo apt-get install fail2ban
En annan bra grej är ju att stänga av PermitRootLogin för SSH. Det absolut vanligaste användarnamnet som man försöker hacka sig in på.
Lycka till.
/L
Tack för tipset, lägger in det bums!
Rootlogin via SSH är redan avaktiverat
Jag tror att jag hittade tjänsten som skapade sshd loggningen, det var zabbix server/agent som en jag delar servern med installerat, så nu var det löst.
Får ställa mig lite i skämshörnan nu
Problemet är i vilket fall löst!
Markerar tråden som LÖST.
mvh
L
Ett väl utfört arbete ger en inre tillfredsställelse och är den grund var på samhället vilar. Linuxuser - Fri webhosting åt folket!
IRC: Louie` @ #kurbitz freenode - Jabber: PM för jabber
