[ Biker @ 04.07.2008. 09:44 ] @
|
| Imam problem kod linux servera (fedora) kome najcesce moram da pristupim izdaleka preko SSH.
E sad problem je sto je server jednog dana poceo da pokusava da ostvari konekciju na SSH portu
negde bezveze u svetu. I to je podiglo saobracaj na nekih 1Mbit uploada. E sad ja sam to ubio tako
sto sam zabranio sav saobracaj prema portu 22, ali na ruteru ispred njega. Da li je neko imao ovakav problem i kako to uopste moze da se resi. Trenutno na tu masinu nemogu da pristupim preko SSH porta. |
[ igor.vitorac @ 04.07.2008. 11:56 ] @
Nisi bas dao previse detalja... ali ajd... ako sam dobro razumeo....
Pretpostavljam da tvoji korisnici (ili mozda neki backdoor) sa lokalne mreze (ili samog servera) pokusavaju da koriste tvoj server i destination port 22 (ka svetu) za komunikaciju. Ono sto ti treba da uradis je da na ruteru zabranis destination port 22 ali samo za konekcije koje dolaze iznutra. U suprotnom smeru ostavi destination port 22 da bi mogao da se kacis na server. Ali pre svega ispitaj o cemu se i kakvom saobracaju tu zapravo radi!
[ b0xd @ 15.07.2008. 13:21 ] @
Mislim da je neko stekao (moguce) root privilegije, i instalirao taj neki "ssh bruteforcer"
To je jedna prosta skriptica (barem u mom slucaju bila) koja skenira range po range za otvorene ssh portove
i pokusava razne kombinacije uname/pass-ova kako bi stekla pristup udaljenom racunaru.
Skontah sam gde se nalazi gledajuci .bash_history, posto genije koji je 'dovukao' ocigledno nije bio
dovoljno pazljiv.
Vidi u proces listi (top/ps) da li ti nesto i dalje sljaka, ako ne proveri ko ti je pristupao sistemu, u poslednje vreme (last)
[ Biker @ 09.09.2008. 20:27 ] @
Evo ovako, desilo se jednog dana da je samo server fedora poceo da sljaka mega sporo.
Kad sam se posle 5 minuta ulogovao preko ssh i ukucao top mogao sam samo da vidim
da procesor radi na 85% i da postoji jedan proces mysql i punoooooooo procesa sa userom steven i proces ssh.
I onda sam morao da ubijem ssh server jer drugacije nije islo.
Kako mogu da proverim da li je nesto instalirano spolja i sta. Jer mi stvarno treba ssh.
Hvala
[ Livadic Cvetko @ 18.09.2008. 14:56 ] @
Prvo bi mogao da zakljucas doticnog usera (tipujem 101% isti username password ili username/test kombinacija).
Sto se tice toga sto si dobio jeste klasicni ssh bruteforce alat (vise o ovome ces naci na google.com)
Probaj sa rkhunter-om naci ako imas neki rootkit, pregledaj svoje logove (mada toplo preporucujem da sacuvas sve bitne podatke i odradis reinstall jer nikad ne mozes biti apsolutno siguran u to da li imas/nemas nesto sto jos uvek nije izaslo u javnost)
[ maksvel @ 18.09.2008. 18:58 ] @
Ako nisi imao tripwire ili nešto slično, neće biti lako pouzdano saznati šta je lik petljao. Ako možeš da odradiš reinstall, k'o što reče Cvetko, bilo bi dobro. Posle možeš da promeniš port za ssh i staviš
fail2ban ili nešto slično.
[ nemysis @ 18.09.2008. 19:29 ] @
Tačno tako obavezno promeni port za SSH na neki viši. To veoma smanjuje napade.
Takođe za svaki program koji to dopušta promeni port na primer za vsftpd, VoIP itd...
Pozdrav nemysis.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.