Nekonecne dlouhy auth.log

Zbyněk Burget zburget at burgnet.cz
Wed Dec 10 10:31:34 CET 2008


Zdravim jeste jednou,

v posledni dobe mne celkem dost vytaci nekonecne dlouhe logy se zaznamy, 
kdy se desitky (nebo stovky) asi zavirovanych pocitacu snazi prihlasit 
pres ssh na moje servery. V dobach, kdy ty utoky vypadaly tak, ze se 
jeden stroj snazil o 10000 pokusu s ruznymi jmeny a ruznymi hesly, bylo 
mozne se snadno ubranit pomoci security/bruteblock. Ustrihl jsem ten 
stroj po 4 neuspesnych prihlasenich na defaultnich 10 min. a vetsinou to 
byla dostatecne dlouha doba na to, aby to uz znovu nezkusil.
V posledni dobe se ale deje horsi vec, kdy nejaky stroj vyrobi jeden 
pokus (na vsechny servery) a pak da treba pul dne pokoj. A pak zase 
jeden pokus. Problem je, ze tech stroju jsou kvanta a pokusy o 
prihlaseni se objevuji v prumeru jednou za 4 min. A logy jsou toho pak plne.
Chtel jsem to varesit tak (a castecne vyresil) tim, ze jsem prislusny 
log presmeroval na router, cimz tostanu tech pokusu o prihlaseni vic a 
dany stroj zkusim ustrihnout na tyden. Kdyz to bude malo, tak na mesic 
(Skoda, ze se v tom bruteblocku neda nastavit, aby to to utocici IP 
ustrihlo navzdy). Snad toho nebude tak moc a bude mi na to v IPFW stacit 
tabulka ;-)
Narazil jsem tam ale na jeden zadrhel - pokud utocici stroj nema platny 
PTR zaznam, je v zaznamu v logu IP adresa a bruteblock ji zpracuje:

Dec 10 10:14:54 ftp sshd[50156]: error: PAM: authentication error for 
illegal user lani from 58.39.145.213

Pokud ale utocici stroj ma platny PTR zaznam, v logu se mi objevi 
domenove jmeno a jsem v haji:

Dec 10 10:14:54 mail sshd[50159]: error: PAM: authentication error for 
illegal user lani from 81-208-90-63.ip.fastwebne.it

bohuzel musim k analyze pouzit tento radek z logu, protoze v pripade, ze 
by bylo uhodnuto username, bude to jediny radek, ktery se v logu objevi 
(jen tam bude chybet ono "illegal user".

Takze - nevite nekdo, kterak donutit sshd resp. PAM (netusim, kdo z nich 
ma obsah uvedeneho radku na svedomi), aby do logu vypisoval IP adresu a 
ne domenove jmeno?

Co pouzivate na obranu pred temito utoky? Nemam strach, ze by se mi 
nekdo do stroje nalamal, jen mne se**u ty nekonecne dlouhe logy.

Zbynek



More information about the Users-l mailing list