Пробивается iptables

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Parcour
Сообщения: 15
ОС: CentOS

Пробивается iptables

Сообщение Parcour »

У меня такая проблема. Хакер 1.180.211.139 ставит себя каким-то образом в цепочку INPUT на последнюю строку со всеми разрешенями. Я его IP ставлю на первую строчку, а он ночью ставит себя на оследнюю и включает генератор паролей с частотой 2 сек и брутфорсит ssh. Раньше он заходил под 1.180.211.238. Причем брутфорсят со многих адресов, такое впечатление что работает целая бот-сеть но пробивает iptables только этот IP адрес.. В бане fail2ban уже 20000 ip адресов. Как с этим бороться? Сменить 22 порт SSH на другой я не могу по определенным причинам.

Код: Выделить всё

ptables -L INPUT -n -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       all  --  *      *       1.180.211.139        0.0.0.0/0           
2    26636 2098K f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
3    22729 1847K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
4    22640 1841K f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
5    22661 1844K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
6     362K  209M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
7     164K  196M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
10    149K  193M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
11    149K  193M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
12    265K  206M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
13    265K  206M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
14    267K  206M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
15     25M   24G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
16         0     0 ACCEPT        all  --  *      *       1.180.211.139        0.0.0.0/0
Спасибо сказали:
IMB
Сообщения: 2559
ОС: Debian

Re: Пробивается iptables

Сообщение IMB »

В iptables, насколько я помню, срабатывает первая строка, если же правила меняются независимо от Вас эт может указывать на то сервер уже "взломан", как пример на нём находится скрипт обеспечивающий эти действия.
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: Пробивается iptables

Сообщение Hephaestus »

Parcour писал(а):
09.04.2021 08:56
Я его IP ставлю на первую строчку, а он ночью ставит себя на последнюю
Вообще это как-то странно. Срабатывать должна первая строка, если пакет подпадает под правило, оно применяется и остальные уже не имеют значения. Поэтому добавление себя в последнюю строчку по идее ничего не даст.
Вы iptables настраивали напрямую или с помощью каких-то инструментов?
посмотрите ещё вывод iptables-save, там может быть видно ещё что-то.
Parcour писал(а):
09.04.2021 08:56
Сменить 22 порт SSH на другой я не могу по определенным причинам.
И всё-таки рассмотрите вариант смены порта.
Критически важный сервис на стандартном порту -- это просто как вывеска "Добро пожаловать!".
Понятно же, что в первую очередь проверяются именно стандартные порты. В дальнейшем так и будете все время отбиваться?
Последний раз редактировалось Hephaestus 09.04.2021 11:08, всего редактировалось 1 раз.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

Да, учетная запись одного пользователя, который вообще никогда не пользовался ей и имел простое имя и простой пароль была взломана. На crontab пользователя были насажены какие-то сккрипты (Ожидали что пользователь сразу сменит простой пароль но он и не заходил). Я пользователя полностью. удалил и его crontab и. вообще crond остановил / Эта учетная запись была использована бот-сетью как ретранслятор. Но root не был взломан. А менять порт это конечно решение проблемы но невозможно по ряду причин связанных с доступом извне по ssh. А бот-сеть скорее всего управляема, её клиенты используются как ретрансляторы и скорее всего и не подозревают об этом и упраляется парой-тройкой адресов из Китая и Гонконга (ip одного я привел). fail2ban отбивает все атаки и в jail размещает хакеров но jail в 20000 строк это много. При перезагрузки системы jail подгружается минут 45 ( у меня 3 jail ). Но 1.180.211.139 как то обхордит fail2ban
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: Пробивается iptables

Сообщение Hephaestus »

Parcour писал(а):
09.04.2021 11:05
А менять порт это конечно решение проблемы но невозможно по ряду причин связанных с доступом извне по ssh.
Назовите хоть одну. Мне правда интересно.
Сервис ssh, вообще-то, как раз и существует для доступа извне.
Но при этом смена порта является вполне обычным делом. То есть проблем не должно быть так-то.

Что касается iptables. Как я уже говорил, срабатывает первое подходящее правило. Поэтому добавление правила в конец ничего не дает.
В Вашем случае должно было сработать первое правило с действием DROP. Но не сработало.
Отсюда вывод: либо что-то не так с политиками по умолчанию, либо разрешающее правило на самом деле не в конце, а в начале (я не просто так посоветовал iptables-save), либо в этой схеме есть ещё какой-то фактор и iptables тут вообще сбоку.

Лично я голосую за схему "закрыть всё, открыть нужное". Это гораздо менее затратно, чем "открыть всё, закрывать ненужное".
Возможно, Вам стоит присмотреться к Вашей системе правил. Тогда, глядишь, и банить никого не придется.
Добавлено (12:15):
Parcour писал(а):
09.04.2021 08:56
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
Ох... Ну вот же и ответ. Как я сразу-то не заметил...
У Вас разрешающая политика по умолчанию на входящие соединения.
Если Вы вдруг не в курсе, это значит, что все пакеты, для которых не нашлось подходящих правил, пройдут спокойно.
С такими настройками только и ждите гостей снаружи. И никакой fail2ban не поможет.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
yoricI
Сообщения: 2344
ОС: gentoo fluxbox

Re: Пробивается iptables

Сообщение yoricI »

Hephaestus писал:
09.04.2021 12:10
никакой fail2ban не поможет.
Ну почему это не поможет, забанит временно при безуспешных попытках. ОБратит внимание.
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: Пробивается iptables

Сообщение Hephaestus »

yoricI писал:
09.04.2021 12:48
забанит временно при безуспешных попытках
А при успешных попытках он что будет делать?

Но опять-таки, чтобы кто-то кого-то забанил, нужно это настроить. Если у ТС недостмотр в настройках сетевого фильтра, почему в настройках fail2ban не может быть то же самое? Кроме того, ТС сам говорит, что некий адрес каким-то образом обходит fail2ban.

Но дело даже не в этом, а в том, что когда все открыто и нужно закрывать лишнее, не хватит никаких ресурсов. Наоборот значительно проще.

Кстати, в теме упоминается брутфорс ssh. Вообще, если вход по ключам, то в брутфорсе смысла немного. А вот если там ещё и вход не по ключу, это вообще караул.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

Это вроде как глобальная ситема которая мониторится и работает только по 22 порту . Я делал политику запретить всё и разрешить определенные ip и всё было нормально только в системе программное обеспечение поменялось и передали мониторинг на какой-то другой ip который фиг определишь. Я долго искал это ip но не мог найти и включить его в список разрешенных. А с администраторами системы общатьсяочень тяжело потому что они в разных странах и письмо идет как на деревню к дедушке. Вернее доходит оно бымтро только они смотрят эти письма раз в год. Я с ними общался а они говорят у нас всё в порядке ищите сам. Оно конечно не накладно но jail растет как на дрожжах и iptables иногда барахлит. Это к тому же CentOS 6 уже без поддержки.А переставлять это такой гемор что ждем когда она окончательно ляжет. Но непонятно что ставитm CentOS 8 is RIP а Rockylinux ещё не вышел a Stream только 3 года поддержки
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: Пробивается iptables

Сообщение Hephaestus »

Parcour писал(а):
09.04.2021 13:20
Это вроде как глобальная ситема которая мониторится и работает только по 22 порту .
Что это за "глобальная система"? Не понял.
Parcour писал(а):
09.04.2021 13:20
Я делал политику запретить всё и разрешить определенные ip и всё было нормально только в системе программное обеспечение поменялось и передали мониторинг на какой-то другой ip который фиг определишь. Я долго искал это ip но не мог найти и включить его в список разрешенных. А с администраторами системы общатьсяочень тяжело
Да уж. Но открывать всё подряд -- это вообще не вариант. Только и будет заботы, что с хакерами бодаться.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Пробивается iptables

Сообщение Bizdelnick »

Parcour писал(а):
09.04.2021 08:56
Я его IP ставлю на первую строчку, а он ночью ставит себя на оследнюю
Ничего не понял. Покажите iptables-save в обоих случаях, а также команду, которой «ставите IP на первую строчку».
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

Сейчас нет этих адресов вроде 1.180.211.139 я их убрал из конца таблицы. Они появляются как правило ночью и после этого идет брутфорс со скоростью пулемета без остановки. Когда они появятся я напишу не раньше понедельника. У меня такое впечатления что из-за большой частоты непрерывных запросов fsil2ban не успевает их отработать
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: Пробивается iptables

Сообщение Hephaestus »

Parcour
Я всё-таки не очень понял, что Вам мешает нормально настроить iptables.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Пробивается iptables

Сообщение Bizdelnick »

Parcour писал(а):
09.04.2021 16:44
У меня такое впечатления что из-за большой частоты непрерывных запросов fsil2ban не успевает их отработать
Тут дело не в частоте запросов. fail2ban банит адрес после нескольких неудачных попыток логина. Если там у root пароль 123456, его подберут раньше, чем сработает fail2ban. К тому же брутфорсить могут с разных адресов, вовсе не обязательно именно с того, который используется после подбора пароля (и прописывается в iptables). Но это только один из возможных вариантов. Возможно, систему порутали давно, и то, что Вы наблюдаете, результат деятельности чего-то, прописавшегося тогда в системе (в системном crontab, в crontab у root, в таймере systemd, в инитскрипте или сервисе systemd и т. п.).
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

Вот например у меня fail2ban настроен на блокирование на 3 года с первой неудачной попытки. Всех он так и отбивает а этот ip 159.89.20.40 проходит и на вторую и на третью и тд попытку пока сам не перестанет атаковать

Код: Выделить всё

Apr 12 03:36:15  sshd[20975]: Invalid user ubnt from 159.89.20.40
Apr 12 03:36:15  sshd[20976]: input_userauth_request: invalid user ubnt
Apr 12 03:36:15  sshd[20975]: pam_unix(sshd:auth): check pass; user unknown
Apr 12 03:36:15  sshd[20975]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=15$
Apr 12 03:36:15  sshd[20975]: pam_succeed_if(sshd:auth): error retrieving information about user ubnt
Apr 12 03:36:16  sshd[20975]: Failed password for invalid user ubnt from 159.89.20.40 port 37524 ssh2
Apr 12 03:36:16  sshd[20976]: Received disconnect from 159.89.20.40: 11: Bye Bye
Apr 12 03:36:17  sshd[20977]: Invalid user admin from 159.89.20.40
Apr 12 03:36:17  sshd[20978]: input_userauth_request: invalid user admin
Apr 12 03:36:17  sshd[20977]: pam_unix(sshd:auth): check pass; user unknown
Apr 12 03:36:17  sshd[20977]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=15$
Apr 12 03:36:17  sshd[20977]: pam_succeed_if(sshd:auth): error retrieving information about user admin
Apr 12 03:36:19  sshd[20977]: Failed password for invalid user admin from 159.89.20.40 port 42678 ssh2
Apr 12 03:36:19  sshd[20978]: Received disconnect from 159.89.20.40: 11: Bye Bye
Apr 12 03:36:19  sshd[20985]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=15$
Apr 12 03:36:22  sshd[20985]: Failed password for root from 159.89.20.40 port 47782 ssh2
Apr 12 03:36:22  sshd[20986]: Received disconnect from 159.89.20.40: 11: Bye Bye
Apr 12 03:36:22  sshd[20987]: Invalid user 1234 from 159.89.20.40
Apr 12 03:36:22  sshd[20988]: input_userauth_request: invalid user 1234
Apr 12 03:36:22  sshd[20987]: pam_unix(sshd:auth): check pass; user unknown
Apr 12 03:36:22  sshd[20987]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=15$
Apr 12 03:36:22  sshd[20987]: pam_succeed_if(sshd:auth): error retrieving information about user 1234
Apr 12 03:36:24  sshd[20987]: Failed password for invalid user 1234 from 159.89.20.40 port 55618 ssh2
Apr 12 03:36:24  sshd[20988]: Received disconnect from 159.89.20.40: 11: Bye Bye
Apr 12 03:36:25  sshd[20989]: Invalid user usuario from 159.89.20.40
Apr 12 03:36:25  sshd[20990]: input_userauth_request: invalid user usuario
Apr 12 03:36:25  sshd[20989]: pam_unix(sshd:auth): check pass; user unknown
Apr 12 03:36:25  sshd[20989]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=15$
Apr 12 03:36:25  sshd[20989]: pam_succeed_if(sshd:auth): error retrieving information about user usuario
Apr 12 03:36:26  sshd[20989]: Failed password for invalid user usuario from 159.89.20.40 port 32820 ssh2
Apr 12 03:36:26  sshd[20990]: Received disconnect from 159.89.20.40: 11: Bye Bye
Apr 12 03:36:27  sshd[20991]: Invalid user support from 159.89.20.40

А другие ip блокируются нормально

Код: Выделить всё

Apr 12 08:18:34  sshd[17860]: pam_succeed_if(sshd:auth): error retrieving information about user sinusbot
Apr 12 08:18:35  sshd[17860]: Failed password for invalid user sinusbot from 165.22.178.247 port 42346 ssh2
Apr 12 08:18:35  sshd[17861]: Received disconnect from 165.22.178.247: 11: Bye Bye
Apr 12 08:19:00  sshd[17876]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10$
Apr 12 08:19:02  sshd[17876]: Failed password for root from 106.55.151.103 port 48082 ssh2
Apr 12 08:19:02  sshd[17877]: Received disconnect from 106.55.151.103: 11: Bye Bye
Apr 12 08:19:05  sshd[17878]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=65$
Apr 12 08:19:06  sshd[17880]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=19$
Apr 12 08:19:07  sshd[17880]: Failed password for daemon from 193.142.59.205 port 44094 ssh2
Apr 12 08:19:07  sshd[17881]: Received disconnect from 193.142.59.205: 11: Bye Bye
Apr 12 08:19:07  sshd[17878]: Failed password for root from 65.151.169.17 port 34018 ssh2
Apr 12 08:19:08  sshd[17879]: Received disconnect from 65.151.169.17: 11: Bye Bye
Apr 12 08:19:19  sshd[17888]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=45$
Apr 12 08:19:21  sshd[17888]: Failed password for ftp from 45.235.98.83 port 42090 ssh2
Apr 12 08:19:21  sshd[17889]: Received disconnect from 45.235.98.83: 11: Bye Bye
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Пробивается iptables

Сообщение Bizdelnick »

Parcour писал(а):
12.04.2021 08:11
Вот например у меня fail2ban настроен на блокирование на 3 года с первой неудачной попытки. Всех он так и отбивает а этот ip 159.89.20.40 проходит и на вторую и на третью и тд попытку пока сам не перестанет атаковать
Если для него срабатывает правило, прописанное в цепочке раньше правил fail2ban, то так и должно быть.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

Да нет его там

Код: Выделить всё

iptables -n -L INPUT  -v   --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1    97471   11M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
2    81561   10M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
3        0     0 DROP       all  --  *      *       81.70.43.144         0.0.0.0/0           
4       21  2028 DROP       all  --  *      *       167.71.69.146        0.0.0.0/0           
5      172 10320 DROP       all  --  *      *       170.106.98.117       0.0.0.0/0           
6      128  7680 DROP       all  --  *      *       179.177.218.245      0.0.0.0/0           
7      121  7260 DROP       all  --  *      *       119.29.241.22        0.0.0.0/0           
8        0     0 DROP       all  --  *      *       1.180.211.139        0.0.0.0/0           
9     113K   13M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
10    109K   13M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
11    109K   13M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
12    109K   13M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
13    448K  219M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
14    250K  207M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
17    236K  204M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
18    236K  204M f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
19    352K  217M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
20    352K  217M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
21    353K  217M f2b-SSH    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 
22     27M   24G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
Спасибо сказали:
Аватара пользователя
Hephaestus
Сообщения: 3729
Статус: Многоуважаемый джинн...
ОС: Slackware64-14.1/14.2
Контактная информация:

Re: Пробивается iptables

Сообщение Hephaestus »

Parcour писал(а):
12.04.2021 13:18
Да нет его там
Вас уже дважды просили показать вывод iptables-save.
Покажите.

И ответьте всё-таки на вопрос, почему нельзя настроить iptables, как положено. Объясните, какие проблемы с доступом возникают.
Пускай скрипят мои конечности.
Я - повелитель бесконечности...
Мой блог
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

А этот что творит?

Код: Выделить всё

Apr 12 14:13:51  sshd[31698]: Failed password for root from 216.218.156.55 port 46854 ssh2
Apr 12 14:13:51  sshd[31699]: Received disconnect from 216.218.156.55: 11: Bye Bye
Apr 12 14:13:53  sshd[31706]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21$
Apr 12 14:13:54  sshd[31706]: Failed password for root from 216.218.156.55 port 51330 ssh2
Apr 12 14:13:55  sshd[31708]: Received disconnect from 216.218.156.55: 11: Bye Bye
Apr 12 14:13:56  sshd[31789]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21$
Apr 12 14:13:58  sshd[31789]: Failed password for root from 216.218.156.55 port 55058 ssh2
Apr 12 14:13:58  sshd[31794]: Received disconnect from 216.218.156.55: 11: Bye Bye
Apr 12 14:13:59  sshd[31870]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21$
Apr 12 14:14:02  sshd[31870]: Failed password for root from 216.218.156.55 port 58608 ssh2
Apr 12 14:14:02  sshd[31878]: Received disconnect from 216.218.156.55: 11: Bye Bye
Apr 12 14:14:04  sshd[31892]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21$
Apr 12 14:14:06  sshd[31892]: Failed password for root from 216.218.156.55 port 34440 ssh2
Apr 12 14:14:06  sshd[31893]: Received disconnect from 216.218.156.55: 11: Bye Bye
Apr 12 14:14:08  sshd[31894]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21$
Apr 12 14:14:09  sshd[31894]: Failed password for root from 216.218.156.55 port 38094 ssh2
Apr 12 14:14:09  sshd[31895]: Received disconnect from 216.218.156.55: 11: Bye Bye
Apr 12 14:14:11  sshd[31900]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21$
Apr 12 14:14:13  sshd[31900]: Failed password for root from 216.218.156.55 port 41914 ssh2
Apr 12 14:14:14  sshd[31901]: Received disconnect from 216.218.156.55: 11: Bye Bye
Apr 12 14:14:15  sshd[31908]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21$
Apr 12 14:14:17  sshd[31908]: Failed password for root from 216.218.156.55 port 46012 ssh2
Apr 12 14:14:17  sshd[31909]: Received disconnect from 216.218.156.55: 11: Bye Bye
Apr 12 14:14:19  sshd[31910]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=21$
Apr 12 14:14:21  sshd[31910]: Failed password for root from 216.218.156.55 port 49556 ssh2
Apr 12 14:14:22  sshd[31911]: Received disconnect from 216.218.156.55: 11: Bye Bye
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Пробивается iptables

Сообщение Bizdelnick »

Bizdelnick писал:
09.04.2021 17:09
fail2ban банит адрес после нескольких неудачных попыток логина.
Сколько попыток у Вас настроено?
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

У меня fail2ban настроен на 1 попытку. А в последнем примере попытки root пробиться по разным портам сразу отбиваются потому что root по ssh запрещен. Это не fail2ban отбивает
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

В общем вероятность взлома с помощью такого деревенского брутфорса minimum-minimorum, только канал ssh забивается иногда при высокой частоте атак и log растет . Ну я в chrontab записал скрипт чтобы он время от времени логи чистил
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Пробивается iptables

Сообщение Bizdelnick »

Если у Вас, как Вы утверждаете, самопроизвольно появляются записи в iptables, то вероятность взлома 100%. В смысле, он уже произошёл, поздно пить боржоми настраивать fail2ban.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
XpoH
Сообщения: 2

Re: Пробивается iptables

Сообщение XpoH »

Может я ошибаюсь, но какой смысл копаться в fail2ban, если судя по 1му сообщению нет
REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
в последней строке цепочки INPUT
?
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Пробивается iptables

Сообщение Bizdelnick »

XpoH писал(а):
14.04.2021 11:08
Может я ошибаюсь
Ошибаетесь.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
XpoH
Сообщения: 2

Re: Пробивается iptables

Сообщение XpoH »

Bizdelnick писал:
14.04.2021 11:19
XpoH писал(а):
14.04.2021 11:08
Может я ошибаюсь
Ошибаетесь.
В чём? Поправьте...

Код: Выделить всё

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp  --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
fail2ban будет писать свою цепочку с банами 1ой строкой
Bizdelnick писал:
13.04.2021 18:53
Если у Вас, как Вы утверждаете, самопроизвольно появляются записи в iptables, то вероятность взлома 100%. В смысле, он уже произошёл, поздно пить боржоми настраивать fail2ban.
тут, конечно, уже всё поздно пить
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Пробивается iptables

Сообщение Bizdelnick »

XpoH писал(а):
14.04.2021 11:34
В чём?
В том, что fail2ban якобы не имеет смысла без этого правила.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

Взлом был пользователя потому что ему дали простое имя и пароль чтобы он сразу поменял пароль. А он этого не сделал. Я этого пользователя удалил. И его crontab куда хакер несколько скриптов повесил. Судя по скриптам хост использовался как площадка- ретранслятор для добавления в бот-сеть. А некоторые хакеры атакуют по несколько раз несмотря на то что fail2ban должен с первого раза отбивать и без появления ip-хакера в его строках разрешающих вход. То было один раз и две стрки с одним ip хакера были в конце INPUT . Я так думаю что это не хакер туда себя вставил а fail1ban глюкнул после vмоей команды iptables-save
Спасибо сказали:
Аватара пользователя
UnixNoob
Сообщения: 1367
ОС: Slackware

Re: Пробивается iptables

Сообщение UnixNoob »

Parcour писал(а):
14.04.2021 12:05
А он этого не сделал.
Почитайте про политику паролей и команду chage, там можно указывать срок действия паролей или принудительно его менять при входе юзера. Если я все верно понимаю.
"Однажды один очень мудрый человек… ничего не сказал. Времена были опасные, да и собеседники ненадёжные"
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

Да не в том дело. Шеф сказал сделать учетную запись c паролем 12345 для этого юзера чтобы он сразу его сменил а ему она была совсем не нужна и он никогда туда не заходил :) Да мы особенно не паримся/ Всё равно всё с Centos6 сносить . Ждем rockylinux
Спасибо сказали:
Parcour
Сообщения: 15
ОС: CentOS

Re: Пробивается iptables

Сообщение Parcour »

Я понял почему некоторые ip по многу раз перебирают порты. Потому-что fail2ban перекрывает у меня только22 порт. А эти ребята45.239.240.20 , 212.129.40.84, 138.0.239.70 , 138.0.239.70 , ,81.69.29.222, 5.64.70.59 , 96.45.178.63 , 96.45.178.63, 1.15.179.53, 81.71.1.138 сканируют высокие порты. Я их перекрыл и сразу тишина наступила :) Наерное они одни из основных в бот-сети
Спасибо сказали:
Ответить