Автор Тема: Отключили за атаки по SSH (Прочитано 2851 раз)

Yarri · « : 23.04.2010 14:21:10 »

Стоит сервер 5 Ковчег c образа, стянутого с alt.
Сегодня провайдер отключил нас, аргументируя тем, что с нашего хоста на все его сервера идут атаки по SSH.
Что это такое и с чем едят? Каким образом от меня могут атаковать.

Сам я захожу на сервер по SSH под учетной записью пользователя (не root).

Прошу помощи у гуру.

ruslandh · « **Ответ #1 :** 23.04.2010 14:27:12 »

1. Попросите его логи атак, с тем, что-бы понять когда и кто атаковал. Без них ничего говорить невозможно. Может провайдер перепутал, может не понял. Кто его знает.
2. Как я понимаю - имеется ввиду попытки войти на компьютеры провайдера через ssh. (командой ssh).

black_13 · « **Ответ #2 :** 23.04.2010 14:40:19 »

1. Читайте договор!
2. Требуйте логи.
3. Анализируйте свои логи на наличие следов взлома :)

Yarri · « **Ответ #3 :** 23.04.2010 15:00:53 »

Вроде нашел... Поломали по SSH учетку пользователя. На самом сервере прав нет, но хакер в каталог пользователя прописал скрипт.
И вообще, получается, что через SSH можно зайти под любым пользователем? а не только теми что прописаны в wheel?
Значит, что то не так....

Yarri · « **Ответ #4 :** 23.04.2010 16:37:21 »

Нашлись в каталоге пользователя подкаталоги с скриптами SSH-scan. Туда же была попытка установить кноппикс.
Ибо слаб искать где там еще что было - переустановил сервер с нуля. Так быстрее. Доступ по SSH снаружи закрыл.
Вот так вот что....

lx001 · « **Ответ #5 :** 23.04.2010 17:16:45 »

Цитировать

Вроде нашел... Поломали по SSH учетку пользователя.

Перебором пароля?

ruslandh · « **Ответ #6 :** 23.04.2010 17:26:21 »

А зачем вовне ssh открывать?

black_13 · « **Ответ #7 :** 23.04.2010 17:31:07 »

Цитировать

wheel

Системная группа которая имеет право пользоваться командой su При чем тут ssh?

Цитировать

А зачем вовне ssh открывать?

Серьезный вроде человек ... а глупые вопросы задаете .... Нехорошо :D

squire · « **Ответ #8 :** 23.04.2010 17:33:55 »

Цитата: ruslandh от 23.04.2010 17:26:21

А зачем вовне ssh открывать?

После установки Simply 5.0.0 обнаружил, что демон sshd поднят и установлен в автозагрузку по умолчанию. Зачем?
Естественно отключил. А у скольких пользователей он сейчас включен!

black_13 · « **Ответ #9 :** 23.04.2010 17:35:09 »

У меня включен. На более чем 150 машинах + около 10 серваков :)

Yarri · « **Ответ #10 :** 23.04.2010 17:50:38 »

По умолчанию на Server 5 Ковчег сервис SSH поднят и прописан доступ из-вне...

ruslandh · « **Ответ #11 :** 23.04.2010 17:53:51 »

Единственное, что могу сказать - "Это зря". Можно сразу в базгзилу на sshd писать.

Skull · « **Ответ #12 :** 23.04.2010 17:57:18 »

Цитата: Yarri от 23.04.2010 17:50:38

По умолчанию на Server 5 Ковчег сервис SSH поднят и прописан доступ из-вне...

Ничто не мешает при сомнениях поставить для пользователей аутентификацию только по ключу (как для root). Это более безопасно.

Код: [Выделить]

PasswordAuthentication noв /etc/openssh/sshd_config

squire · « **Ответ #13 :** 23.04.2010 18:04:53 »

Цитата: black_13 от 23.04.2010 17:35:09

У меня включен. На более чем 150 машинах + около 10 серваков :)

Вам это надо для администрирования локальной сети.
Домашнему пользователю это зачем включено по умолчанию?

ruslandh · « **Ответ #14 :** 23.04.2010 18:10:15 »

Skull - вопрос об умолчаниях. Я думаю, так получилось, потому, что например, для Школьного заказа - так написано в ТЗ - что-бы учитель мог зайти к любому ученику, а в остальных случаях - это бага.

Форум сообщества
Альт Линукс