# Software > Ασφάλεια >  SSH Brute Force?

## JollyRoger

```
04:18:11 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (SYN), 219.151.6.118:12502->10.40.186.25:22, 
    len 60 
04:18:12 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK), 219.151.6.118:12502->10.40.186.25:22, 
    len 52 
04:18:12 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,FIN), 219.151.6.118:12502-
    >10.40.186.25:22, len 52 
04:18:12 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (RST), 219.151.6.118:12502->10.40.186.25:22, 
    len 40 
04:29:02 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (SYN), 219.151.6.118:4381->10.40.186.25:22, 
    len 60 
04:29:02 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK), 219.151.6.118:4381->10.40.186.25:22, 
    len 52 
04:29:02 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK), 219.151.6.118:4381->10.40.186.25:22, 
    len 52 
04:29:02 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,PSH), 219.151.6.118:4381-
    >10.40.186.25:22, len 72 
04:29:03 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,PSH), 219.151.6.118:4381-
    >10.40.186.25:22, len 204 
04:29:03 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,PSH), 219.151.6.118:4381-
    >10.40.186.25:22, len 196 
04:29:04 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,PSH), 219.151.6.118:4381-
    >10.40.186.25:22, len 68 
04:29:04 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,PSH), 219.151.6.118:4381-
    >10.40.186.25:22, len 104 
04:29:05 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,PSH), 219.151.6.118:4381-
    >10.40.186.25:22, len 136 
04:29:06 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (SYN), 219.151.6.118:4431->10.40.186.25:22, 
    len 60 
04:29:06 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,PSH), 219.151.6.118:4381-
    >10.40.186.25:22, len 104 
04:29:06 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,FIN), 219.151.6.118:4381-
    >10.40.186.25:22, len 52 
04:29:06 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK), 219.151.6.118:4431->10.40.186.25:22, 
    len 52 
04:29:06 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK), 219.151.6.118:4381->10.40.186.25:22, 
    len 52 
04:29:07 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK), 219.151.6.118:4431->10.40.186.25:22, 
    len 52 

....


04:33:30 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (ACK,FIN,PSH), 219.151.6.118:28781-
    >10.40.186.25:22, len 104 
04:33:30 firewall,info mojiro's log forward: in:ether1 out:ether1, src-mac 
    xx:xx:xx:xx:xx:xx, proto TCP (RST), 219.151.6.118:28781->10.40.186.25:22, 
    len 40
```

 (το έκοψα, ήταν τεράστιο, τα ενδιάμεσα συνέχιζαν με τον ίδιο ρυθμό...)


τι προσπαθεί να κάνει ο μάστορας?  :: 



```
[email protected]:/# ssh 10.40.186.25
Permission denied (publickey).
```

  :: 



ps. ααα ναι! ξέχασα κι αυτό...  :: 


```
whois 219.151.6.118
% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      219.151.0.0 - 219.151.31.255
netname:      CHINANET-GZ
descr:        CHINANET Guizhou province network
descr:        Data Communication Division
descr:        China Telecom
country:      CN
admin-c:      CH93-AP
tech-c:       DL72-AP
mnt-by:       MAINT-CHINANET
mnt-lower:    MAINT-CHINANET-GZ
changed:      [email protected] 20021016
status:       ALLOCATED NON-PORTABLE
source:       APNIC

person:       Chinanet Hostmaster
nic-hdl:      CH93-AP
e-mail:       [email protected]
address:      No.31 ,jingrong street,beijing
address:      100032
phone:        +86-10-58501724
fax-no:       +86-10-58501724
country:      CN
changed:      [email protected] 20070416
mnt-by:       MAINT-CHINANET
source:       APNIC

person:       dan lu
nic-hdl:      DL72-AP
e-mail:       [email protected]
address:      3. east yanan road of guiyang
address:      550001 china
phone:        +86-851-6861469
fax-no:       +86-851-6857020
country:      CN
changed:      [email protected] 20030122
mnt-by:       MAINT-CHINANET-GUIZHOU
source:       APNIC
```

λετε να μ'εχουν βάλει στο μάτι οι κινέζοι απο τότε?  ::

----------


## JollyRoger

::   ::   ::  βρήκα κι αυτά...



```
Jan 31 04:18:42 jr sshd[12668]: Did not receive identification string from 219.151.6.118
Jan 31 04:29:35 jr sshd[15565]: Invalid user staff from 219.151.6.118
Jan 31 04:29:39 jr sshd[15568]: Invalid user sales from 219.151.6.118
Jan 31 04:29:43 jr sshd[15572]: Invalid user recruit from 219.151.6.118
Jan 31 04:29:46 jr sshd[15574]: Invalid user alias from 219.151.6.118
Jan 31 04:29:50 jr sshd[15576]: Invalid user office from 219.151.6.118
Jan 31 04:29:55 jr sshd[15578]: Invalid user samba from 219.151.6.118
Jan 31 04:29:59 jr sshd[15580]: Invalid user tomcat from 219.151.6.118
Jan 31 04:30:05 jr sshd[15604]: Invalid user webadmin from 219.151.6.118
Jan 31 04:30:12 jr sshd[15606]: Invalid user spam from 219.151.6.118
Jan 31 04:30:16 jr sshd[15608]: Invalid user virus from 219.151.6.118
Jan 31 04:30:21 jr sshd[15611]: Invalid user cyrus from 219.151.6.118
Jan 31 04:30:25 jr sshd[15613]: Invalid user oracle from 219.151.6.118
Jan 31 04:30:28 jr sshd[15615]: Invalid user michael from 219.151.6.118
Jan 31 04:30:33 jr sshd[15617]: User ftp not allowed because account is locked
Jan 31 04:30:41 jr sshd[15619]: Invalid user test from 219.151.6.118
Jan 31 04:30:45 jr sshd[15621]: Invalid user webmaster from 219.151.6.118
Jan 31 04:30:52 jr sshd[15623]: Invalid user postmaster from 219.151.6.118
Jan 31 04:30:55 jr sshd[15625]: Invalid user postfix from 219.151.6.118
Jan 31 04:31:03 jr sshd[15629]: Invalid user paul from 219.151.6.118
Jan 31 04:31:09 jr sshd[15631]: User root not allowed because account is locked
Jan 31 04:31:16 jr sshd[15663]: Invalid user guest from 219.151.6.118
Jan 31 04:31:21 jr sshd[15670]: Invalid user admin from 219.151.6.118
Jan 31 04:31:25 jr sshd[15672]: Invalid user linux from 219.151.6.118
Jan 31 04:31:28 jr sshd[15674]: Invalid user user from 219.151.6.118
Jan 31 04:31:32 jr sshd[15676]: Invalid user david from 219.151.6.118
Jan 31 04:31:36 jr sshd[15678]: Invalid user web from 219.151.6.118
Jan 31 04:31:39 jr sshd[15680]: Invalid user apache from 219.151.6.118
Jan 31 04:31:43 jr sshd[15683]: Invalid user pgsql from 219.151.6.118
Jan 31 04:31:47 jr sshd[15685]: User mysql not allowed because account is locked
Jan 31 04:31:50 jr sshd[15687]: Invalid user info from 219.151.6.118
Jan 31 04:31:54 jr sshd[15689]: Invalid user tony from 219.151.6.118
Jan 31 04:31:57 jr sshd[15691]: Invalid user core from 219.151.6.118
Jan 31 04:32:01 jr sshd[15693]: Invalid user newsletter from 219.151.6.118
Jan 31 04:32:05 jr sshd[15699]: Invalid user named from 219.151.6.118
Jan 31 04:32:08 jr sshd[15701]: Invalid user visitor from 219.151.6.118
Jan 31 04:32:12 jr sshd[15703]: Invalid user ftpuser from 219.151.6.118
Jan 31 04:32:18 jr sshd[15705]: Invalid user username from 219.151.6.118
Jan 31 04:32:22 jr sshd[15707]: Invalid user administrator from 219.151.6.118
Jan 31 04:32:28 jr sshd[15709]: Invalid user library from 219.151.6.118
Jan 31 04:32:33 jr sshd[15711]: Invalid user test from 219.151.6.118
Jan 31 04:32:36 jr sshd[15713]: User root not allowed because account is locked
Jan 31 04:32:40 jr sshd[15715]: User root not allowed because account is locked
Jan 31 04:32:44 jr sshd[15717]: Invalid user admin from 219.151.6.118
Jan 31 04:32:47 jr sshd[15719]: Invalid user guest from 219.151.6.118
Jan 31 04:32:51 jr sshd[15721]: Invalid user master from 219.151.6.118
Jan 31 04:32:56 jr sshd[15723]: User root not allowed because account is locked
Jan 31 04:33:01 jr sshd[15725]: User root not allowed because account is locked
Jan 31 04:33:04 jr sshd[15727]: User root not allowed because account is locked
Jan 31 04:33:08 jr sshd[15729]: User root not allowed because account is locked
Jan 31 04:33:15 jr sshd[15731]: User root not allowed because account is locked
Jan 31 04:33:18 jr sshd[15733]: Invalid user admin from 219.151.6.118
Jan 31 04:33:22 jr sshd[15736]: Invalid user admin from 219.151.6.118
Jan 31 04:33:30 jr sshd[15738]: Invalid user admin from 219.151.6.118
Jan 31 04:33:34 jr sshd[15740]: Invalid user admin from 219.151.6.118
Jan 31 04:33:37 jr sshd[15742]: User root not allowed because account is locked
Jan 31 04:33:41 jr sshd[15744]: User root not allowed because account is locked
Jan 31 04:33:46 jr sshd[15747]: Invalid user test from 219.151.6.118
Jan 31 04:33:50 jr sshd[15749]: Invalid user test from 219.151.6.118
```

όξω ρε κινέζε...  ::

----------


## zabounis

Αποτροπή bruteforce attacks με *Blockhosts* σε Debian Etch
http://www.northattica.awmn/viewtopic.php?f=14&t=34

----------


## mojiro

ρε ζαβό... βγάλε την 22 από το internet...

----------


## JollyRoger

> ρε ζαβό... βγάλε την 22 από το internet...



γιατί λες να σπάει RSA public key τόσο εύκολα?  :: 

μόνο με certificate μπαίνεις  :: 



```
[email protected]:/# ssh 10.40.186.25
Permission denied (publickey).
```

αν υπάρχει κάποιος τρόπος να το φάνε, να το κάνω...

αλλά νομίζω είναι safe, δεν ειναι;

----------


## bedazzled

> Αρχική Δημοσίευση από mojiro
> 
> ρε ζαβό... βγάλε την 22 από το internet...
> 
> 
> 
> γιατί λες να σπάει RSA public key τόσο εύκολα? 
> 
> μόνο με certificate μπαίνεις 
> ...


Για να μην γεμίζεις logs «σεντόνια» πρέπει να αλλάξεις πόρτα...

----------


## akops76

Καλησπέρα,

Απο πλευρά ασφάλειας και ειδικά σε δίκτυα παραγωγής, συνηθίζεται ευαίσθητες υπηρεσίες διαχείρισης όπως το ssh(ανεξάρτητα το σε ποιο port το έχουμε βάλει)
να περιορίζονται με firewalls. Αν υπάρχει ανάγκη για remote διαχείριση τότε συστήνεται η χρήση static vpn λογαριασμών.

Πάντος γενικά δεν είναι εύκολη η παραβίαση του ssh. Ομως αν πχ εμφανίστει κάποιο security vulnerability στην έκδοση
που τρέχεις, τότε θεωρητικά μέχρι να την αναβαθμίσεις, είσαι εκτεθιμένος.
Πολύ βολικές πάντος είναι και οι τεχνικές μπλοκαρίσματος των bruteforce attacks που ανέφερε ποιο πάνω ο zabounis.
Eγω πχ στην δουλεία χρησιμοποιώ το fail2ban για να προστατεύω το pop3. Ετσι αν μια IP δοκιμάσει πάνω απο χ φορές λάθος τα τελευταία ψ λεπτά
κόβεται για χψζ χρόνο.




> Αρχική Δημοσίευση από JollyRoger
> 
> 
> 
> 
> 
> 
>  Αρχική Δημοσίευση από mojiro
> 
> ...

----------


## harrylaos

Συμφωνω με τον Akops76 και τον Zabounis!

----------


## Cha0s

> λετε να μ'εχουν βάλει στο μάτι οι κινέζοι απο τότε?


Δεν σε έχει βάλει κανείς στο μάτι.
Το μισό internet σκανάρει το άλλο μισό και βάζουν να βαράνε με dictionaries και αν πάρουν κάπου πρόσβαση έχει καλώς, αλλιώς προχωράνε πιο κάτω.

Επί το πλήστον όποιος έχει ανοιχτό το πορτ 22 στο internet, του σκάνε failed logins από ips από όλο τον κόσμο...

----------


## Mick Flemm

> Αρχική Δημοσίευση από mojiro
> 
> ρε ζαβό... βγάλε την 22 από το internet...
> 
> 
> 
> γιατί λες να σπάει RSA public key τόσο εύκολα? 
> 
> μόνο με certificate μπαίνεις 
> ...


Εκτός αν πέσεις πάνω στον debian developer που του ήρθε να κάνει comment εκείνες τις γραμμές του κώδικα που βοηθούν στο randomization  ::

----------


## alsafi

> Εκτός αν πέσεις πάνω στον debian developer που του ήρθε να κάνει comment εκείνες τις γραμμές του κώδικα που βοηθούν στο randomization


  ::   ::   ::

----------

