Nekonecne dlouhy auth.log
Zbyněk Burget
zburget at burgnet.cz
Wed Dec 10 10:31:34 CET 2008
Zdravim jeste jednou,
v posledni dobe mne celkem dost vytaci nekonecne dlouhe logy se zaznamy,
kdy se desitky (nebo stovky) asi zavirovanych pocitacu snazi prihlasit
pres ssh na moje servery. V dobach, kdy ty utoky vypadaly tak, ze se
jeden stroj snazil o 10000 pokusu s ruznymi jmeny a ruznymi hesly, bylo
mozne se snadno ubranit pomoci security/bruteblock. Ustrihl jsem ten
stroj po 4 neuspesnych prihlasenich na defaultnich 10 min. a vetsinou to
byla dostatecne dlouha doba na to, aby to uz znovu nezkusil.
V posledni dobe se ale deje horsi vec, kdy nejaky stroj vyrobi jeden
pokus (na vsechny servery) a pak da treba pul dne pokoj. A pak zase
jeden pokus. Problem je, ze tech stroju jsou kvanta a pokusy o
prihlaseni se objevuji v prumeru jednou za 4 min. A logy jsou toho pak plne.
Chtel jsem to varesit tak (a castecne vyresil) tim, ze jsem prislusny
log presmeroval na router, cimz tostanu tech pokusu o prihlaseni vic a
dany stroj zkusim ustrihnout na tyden. Kdyz to bude malo, tak na mesic
(Skoda, ze se v tom bruteblocku neda nastavit, aby to to utocici IP
ustrihlo navzdy). Snad toho nebude tak moc a bude mi na to v IPFW stacit
tabulka ;-)
Narazil jsem tam ale na jeden zadrhel - pokud utocici stroj nema platny
PTR zaznam, je v zaznamu v logu IP adresa a bruteblock ji zpracuje:
Dec 10 10:14:54 ftp sshd[50156]: error: PAM: authentication error for
illegal user lani from 58.39.145.213
Pokud ale utocici stroj ma platny PTR zaznam, v logu se mi objevi
domenove jmeno a jsem v haji:
Dec 10 10:14:54 mail sshd[50159]: error: PAM: authentication error for
illegal user lani from 81-208-90-63.ip.fastwebne.it
bohuzel musim k analyze pouzit tento radek z logu, protoze v pripade, ze
by bylo uhodnuto username, bude to jediny radek, ktery se v logu objevi
(jen tam bude chybet ono "illegal user".
Takze - nevite nekdo, kterak donutit sshd resp. PAM (netusim, kdo z nich
ma obsah uvedeneho radku na svedomi), aby do logu vypisoval IP adresu a
ne domenove jmeno?
Co pouzivate na obranu pred temito utoky? Nemam strach, ze by se mi
nekdo do stroje nalamal, jen mne se**u ty nekonecne dlouhe logy.
Zbynek
More information about the Users-l
mailing list