Sida 1 av 1
Massor sshd entries, bruteforce? [LÖST]
Postat: 29 jul 2010, 12:34
av TerryGre
Hej!
Detta är säkert ett nybörjarfel men sedan en tid tillbaka har jag börjat se massor entries av typen "Did not receive identification string" på min pfsense box:
Kod: Markera allt
Jul 27 23:11:50 sshd[36717]: Did not receive identification string from 192.168.1.15
Jul 28 00:11:50 sshd[46901]: Did not receive identification string from 192.168.1.15
Jul 28 01:11:50 sshd[56945]: Did not receive identification string from 192.168.1.15
Jul 28 02:11:50 sshd[3276]: Did not receive identification string from 192.168.1.15
Jul 28 03:11:50 sshd[13470]: Did not receive identification string from 192.168.1.15
Jul 28 04:11:50 sshd[23626]: Did not receive identification string from 192.168.1.15
Jul 28 05:11:50 sshd[33722]: Did not receive identification string from 192.168.1.15
Jul 28 06:11:50 sshd[43915]: Did not receive identification string from 192.168.1.15
Jul 28 07:11:51 sshd[54102]: Did not receive identification string from 192.168.1.15
Jul 28 08:11:50 sshd[245]: Did not receive identification string from 192.168.1.15
Jul 28 09:11:50 sshd[10485]: Did not receive identification string from 192.168.1.15
Jul 28 10:11:50 sshd[20696]: Did not receive identification string from 192.168.1.15
Jul 28 11:11:51 sshd[30754]: Did not receive identification string from 192.168.1.15
Jul 28 12:11:50 sshd[40956]: Did not receive identification string from 192.168.1.15
etc....
från min ubuntu med webmin (/var/log/auth.log):
Kod: Markera allt
Jul 29 02:13:27 ubuntu sshd[25921]: Did not receive identification string from 192.168.1.15
Jul 29 03:13:24 ubuntu sshd[26512]: Did not receive identification string from 192.168.1.15
Jul 29 04:13:23 ubuntu sshd[27103]: Did not receive identification string from 192.168.1.15
Jul 29 05:13:24 ubuntu sshd[27692]: Did not receive identification string from 192.168.1.15
Jul 29 06:13:23 ubuntu sshd[28283]: Did not receive identification string from 192.168.1.15
Jul 29 07:13:24 ubuntu sshd[29027]: Did not receive identification string from 192.168.1.15
Jul 29 08:13:26 ubuntu sshd[29618]: Did not receive identification string from 192.168.1.15
Jul 29 09:13:26 ubuntu sshd[30209]: Did not receive identification string from 192.168.1.15
Jul 29 10:13:27 ubuntu sshd[30800]: Did not receive identification string from 192.168.1.15
Jul 29 11:13:27 ubuntu sshd[31393]: Did not receive identification string from 192.168.1.15
Jul 29 12:13:30 ubuntu sshd[311]: Did not receive identification string from 192.168.1.15
etc....
Så min fråga är, har någon rootat min ubuntuserver(som är 192.168.1.15) och försöker brutforca fram lösen till min pfsense box eller vad betyder dessa entries?
Tack!
Re: Massor sshd entries, bruteforce?
Postat: 29 jul 2010, 13:02
av Lars
När någon försöker knäcka lösen ser det annorlunda ut. Man brukar få typ "Failed password for root from nnn.nnn.nnn.nnn port nn ssh2".
Men uppenbarligen försöker din server använda port 22 en gång i timmen. Kolla i /etc/crontab, /etc/cron.d/ och /etc/cron.hourly/ på servern. Körs någonting därifrån som skulle kunna tänkas att kontakta pfsense-burken?
Re: Massor sshd entries, bruteforce?
Postat: 29 jul 2010, 14:07
av TerryGre
Lars skrev:När någon försöker knäcka lösen ser det annorlunda ut. Man brukar få typ "Failed password for root from nnn.nnn.nnn.nnn port nn ssh2".
Men uppenbarligen försöker din server använda port 22 en gång i timmen. Kolla i /etc/crontab, /etc/cron.d/ och /etc/cron.hourly/ på servern. Körs någonting därifrån som skulle kunna tänkas att kontakta pfsense-burken?
/etc/crontab
Kod: Markera allt
# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
# m h dom mon dow user command
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#
/etc/cron.d/ innehåller bara en php5 mapp som är tom och /etc/cron.hourly/ är helt tom :S...
Re: Massor sshd entries, bruteforce?
Postat: 29 jul 2010, 14:25
av Lars
Då kanske det finns någon personlig crontab då, kolla under /var/spool/cron/crontabs/
Re: Massor sshd entries, bruteforce?
Postat: 31 jul 2010, 11:37
av TerryGre
Lars skrev:Då kanske det finns någon personlig crontab då, kolla under /var/spool/cron/crontabs/
ls -l /var/spool/cron/crontabs/
total 4
-rw------- 1 root crontab 317 2010-06-11 16:50 root
och mappen root är sedan tom.
Jag ska prova stänga av lite tjänster som körs på maskinen och se när/om det försvinner, verkar vara enda lösningen just nu
Tack!
Re: Massor sshd entries, bruteforce?
Postat: 31 jul 2010, 14:36
av Louie
Ett tips om du vill göra din server säkrare mot bruteforce attacker utifrån är att installera programmet fail2ban som helt enkelt blockerar personer som gör ett visst antal felaktiga inloggningar under en viss tid. Blockeringen är tidsbestämd till tio minuter som standard så man behöver inte oroa sig för att man ska bli blockerad från sin egen server
sudo apt-get install fail2ban
En annan bra grej är ju att stänga av PermitRootLogin för SSH. Det absolut vanligaste användarnamnet som man försöker hacka sig in på.
Lycka till.
/L
Re: Massor sshd entries, bruteforce?
Postat: 31 jul 2010, 15:25
av TerryGre
Louie skrev:Ett tips om du vill göra din server säkrare mot bruteforce attacker utifrån är att installera programmet fail2ban som helt enkelt blockerar personer som gör ett visst antal felaktiga inloggningar under en viss tid. Blockeringen är tidsbestämd till tio minuter som standard så man behöver inte oroa sig för att man ska bli blockerad från sin egen server
sudo apt-get install fail2ban
En annan bra grej är ju att stänga av PermitRootLogin för SSH. Det absolut vanligaste användarnamnet som man försöker hacka sig in på.
Lycka till.
/L
Tack för tipset, lägger in det bums!
Rootlogin via SSH är redan avaktiverat
Jag tror att jag hittade tjänsten som skapade sshd loggningen, det var zabbix server/agent som en jag delar servern med installerat, så nu var det löst.
Får ställa mig lite i skämshörnan nu
Re: Massor sshd entries, bruteforce?
Postat: 31 jul 2010, 15:26
av Louie
TerryGre skrev:Louie skrev:Ett tips om du vill göra din server säkrare mot bruteforce attacker utifrån är att installera programmet fail2ban som helt enkelt blockerar personer som gör ett visst antal felaktiga inloggningar under en viss tid. Blockeringen är tidsbestämd till tio minuter som standard så man behöver inte oroa sig för att man ska bli blockerad från sin egen server
sudo apt-get install fail2ban
En annan bra grej är ju att stänga av PermitRootLogin för SSH. Det absolut vanligaste användarnamnet som man försöker hacka sig in på.
Lycka till.
/L
Tack för tipset, lägger in det bums!
Rootlogin via SSH är redan avaktiverat
Jag tror att jag hittade tjänsten som skapade sshd loggningen, det var zabbix server/agent som en jag delar servern med installerat, så nu var det löst.
Får ställa mig lite i skämshörnan nu
Problemet är i vilket fall löst!
Markerar tråden som LÖST.
mvh
L