Ламають сервер. Що робити?

[Led_ZX]

Ото, я вибачаюсь, якщо не за адресою , але я зовсім недавно перейшов від напівпідпільного і напівіграшкового використання Лінакса на роботі до нормального адмінування Лінаксового сервера, і дещо розгубився в ситуації , коли в мене на очах мій сервак намагаються поламати. Звичайно, віддалено, через ssh-2. Абсолютно випадково поліз подивитися /var/log/secure, а, виявляється, вже пів-години хтось підбира логін/пароль на 22 порт. Я спочатку кинувся його самого відсканувати, а потім просто замкнув мережу в /etc/host.deny ALL: ALL. А що треба робити в таких випадках?

[Praporshic]

Мабуть найпростіше - заборонити в iptables під'єднання до 22 порту. Як точно це зробити не пам'ятаю, але не складно. Окрім того, можна продивитись звідкіля лізуть, і у випадку статичної адреси просто її заблокувати. Ще не погано діє, коли лізе хтось свій, довгий твердий предмет. 1 раз розбиваєш клаву, водночас відбиваючи пальці, і вже не лізуть .

[tech]

Код: [Вибрати]

/etc/ssh/ssh_config:
        Host *
        ForwardAgent no
        ForwardX11 no
        RhostsAuthentication no
        RhostsRSAAuthentication no
        RSAAuthentication yes
        PasswordAuthentication yes
        FallBackToRsh no
        UseRsh no
        BatchMode no
        CheckHostIP yes
        StrictHostKeyChecking no
        IdentityFile ~/.ssh/identity
        IdentityFile ~/.ssh/id_dsa
        IdentityFile ~/.ssh/id_rsa
        Port 22
        Protocol 2
        Cipher blowfish
        Compression yes
        CompressionLevel 6
        KeepAlive no
        EscapeChar ~
          
        man ssh

      /etc/ssh/sshd_conf:
        Port 22
        Protocol 2
        ListenAddress 192.168.1.1

        # HostKey for protocol version 1
        #HostKey /etc/ssh/ssh_host_key
        # HostKeys for protocol version 2
        HostKey /etc/ssh/ssh_host_rsa_key
        HostKey /etc/ssh/ssh_host_dsa_key

        # Lifetime and size of ephemeral version 1 server key
        #KeyRegenerationInterval 3600
        #ServerKeyBits 768

        # Logging
        SyslogFacility AUTH
        LogLevel INFO
        
        # Authentication:
        LoginGraceTime 600
        PermitRootLogin no
        StrictModes yes
        PasswordAuthentication yes
        PermitEmptyPasswords no
        #RSAAuthentication yes
        PubkeyAuthentication yes
        #AuthorizedKeysFile     %h/.ssh/authorized_keys
        RhostsAuthentication no
        IgnoreRhosts yes
        RhostsRSAAuthentication no
        HostbasedAuthentication no
        IgnoreUserKnownHosts yes
        AllowUsers dentonj

        X11Forwarding no
        X11DisplayOffset 10
        AllowTcpForwarding yes
        PrintMotd yes
        PrintLastLog no
        KeepAlive no
        #UseLogin no
        Banner /etc/issue.net
        ReverseMappingCheck yes

Підказки по захисту системи ,Slackware , але дійсні і для інших дистрибутивів.

Тобто ви можете заборонити лише root ssh логін, впевнившись що fingerd закоментований у /etc/inetd.conf (щоб не видавав хто присутній на системі).

Навіть якщо крякер взнає ім'я одного користувача на системі, можете добавити у /etc/login.defs більшу паузу між невдалими спробами залогінитись, це дещо розтягне підбирання гасла:

Код: [Вибрати]

FAIL_DELAY              7 # було 3 секунди


[Led_ZX]

Величезне Дякую за поради! ssh перенесу на інший порт, бо зараз я чіпляюсь сам через webmin, а це не дуже швидка річ, по-перше, по-друге, в консолі якось зручніш. А чи можна вважати гарантованою перевірку chrootkit? Оскільки сервер дістався в спадок після 3-х чи 4-х адмінів, а переставити систему з усім, що там висить зараз, я побоююсь, але є припущення, що її вже раз було зламано. І -- дивна річ взагалі -- файл /etc/inetd.conf не існує. Вставити його руками, чи так облишити? Може, останній сисадмін навмисне його стер? Перевіряв Nessus, той видав дві критичні дірки: sendmail та domain.

[Praporshic]

Як на мене то краще коли він (/etc/initd.conf) наявний. Тоді легше працювати (мені, може й комусь складніше) з сервісами які через нього йдуть. А от про дірки у пошті та домені можу сказати лише одне - треба подивитись усі права доступу та порізати їх до мінімуму.

[Володимир Лісівка]

І -- дивна річ взагалі -- файл /etc/inetd.conf не існує.

Це тому, що вже років п'ять як xinetd використовують. Він дозволяє тримати опис кожного сервісу у окремому файлі, що значно спрощує життя адміну.

Крім того, я підозрюю, що sshd у вас живе окремим демоном і запускається/зупиняється через /etc/rc.d/init.d/sshd start/stop.

[hse]

Переставляти сервіси на інші порти несильно помагає, зарази висканують і будуть довбити далі.
Шукайте /etc/xinet.conf це нова версія "суперсерверу".
Даю ще одну дуже хорошу доку по безпеці, але її краще читати всю і перед встановленням Лінуха...
ефективність/(затарчений час) найкраща при встановлені iptables.
Хоча pam, xinetd, chrooting... також дуже важливі.

Код: [Вибрати]

перегляд правил всіх ланцюжків таблиці filter:
iptables -t filter -L --line-number -v -n -x

блокує ssh, telnet через eth0 з ІР _ip_addres_of_crack_:
iptables -I INPUT 1 -p TCP -i eth0 -s _ip_addres_of_crack_ -m multiport --destination-port 22,23 -j DROP

блокує все через eth0 з ІР _ip_addres_of_crack_:
iptables -I INPUT 1 -p ALL -i eth0 -s _ip_addres_of_crack_ -j DROP
правило потрібно поставити самим першим в таблиці filter ланцюжку INPUT, щоб гарантовано заблокувати доступ з тієї ІР-шки.
А сервер після 3-х адмінів переставте обов'язково.

[Moriarty]

На мій погляд немає сенсу блокувати кожну IP адресу, з якої атакують (тому що можуть за один день атакувати з різних IP адрес), як варінт - дозволити конект з певних (своїх) адрес, інші - блокувати.

[Patrick]

Проти сканування портів є така файна штука - зветься portsentry
Але перед використанням варто було б уважно почитати документацію (чи бодай файл portsentry.conf   ), щоб захищати саме те, що треба і від тих, хто дійсно загрожує

Якщо зацікавить - тут ось трохи російською є:

http://www.opennet.ru/docs/RUS/linuxsos/ch10_3.html
http://www.opennet.ru/docs/RUS/portsentry/portsentry3.html

[Led_ZX]

В мене зараз там повна Ж. Поставив нову систему -- myLInux, перейшов на ADSL-pppoe. Стара -- RH 7.3 pppoe взагалі не тягне, ядро старий адмін компілював без ppp, компілювати нове під рухлядь я манав. Ставлю нову що  поверх старої, що з нуля: все -- сквід, сендмило, файєрвол та вебмін -- працює, тобто у процесах бовтається і відлуп користувачам дає, але ні пошти, ні інета. Тільки з сервера безпосередньо. А підкажете, а чи є можливість десь в Аську чи Джабері в конфу постукати, щоб онлайн "на-гарячу" за допомогою звернутися?

[hse]

MYLinux слабий як срвер, він розроблявся як захищена робоча станція так що як сервер він не найкращий.
Конфіги нового лінукса старими не заміняйте, а краще поправте по аналогії.
Всі сервери зараз підняти не виходить - пробуйте по одному, підглядайте в доки.
На конкретні питання якщо знатиму відповім.

[Byte]

Те, що хтось намагається зламати сервер - нормально. Від цього не закриєшся. Але потрібно звести до мінімума ймовірність успіху у цьому. Ось декілька порад:
0. За умовчанням політики IPTABLES порібні бути DROP
1. Забороняємо ssh від root
2. Відкриваємо порт ssh тільки для потрібних IP
3. Записуємо у логи всі всі події IPTABLES, що підпадають під DROP
4. Всім користувачам, що не потрибують шела, в якості інтерпритатора вказуємо /dev/null
5. Паролі заводимо тількі складні, переодично їх змінюємо

[borman]

Також, було б непогано з'ясувати кому належить IP-адреса, з якої відбувається спроба вторгнення.Якщо це машина одного з провайдерів, то ви можете просто повідомити йому про це з копією логів і боротьба з порушником стане не лише вашою особистою проблемою.

[Byte]

доречі - про провайдера. А може це просто їх адміни використовуюсь XSpaider та сканують мережу на наявність дирок? XSpider, здається мені, теж підбирає паролі, ось звідси і згадки у логах.

[Led_ZX]

Ну, нарешті, здається, підняв систему! Все-таки під myLinux. Хоч мені і більш до вподоби Debian, але його я знаю на "хатньому" рівні. RH, як виявилось, врешті, теж, але давніш і на нього доків більше. Ось. Окрім того, що "підтримуємо вітчизняного виробника", myLinux виявився єдиним під рукою, що схопив майже всі налаштування group/users, named, squid,  sendmail та інше за апдейтом системи. АльтМайстре, при всій повазі і чудовій українізації, ставитися апдейтом не схотів. Та і ядро в того DVD, що в мене -- 2.4.26 проти 2.6.9 в myLinux. Debіan накатити поверх RH 7.3 -- самі розумієте... Від sendmail таки відмовився -- не зміг домогтися прийому-відправки. Postfix запустився з нуля за мінімальними тілорухами. Але тепер в логах почало з`являтися на зразок:
Aug 15 15:01:25 mail smbd[3757]:   Denied connection from  (aaa.bbb.ccc.239)
Aug 15 15:01:27 mail smbd[3758]: [2005/08/15 15:01:27, 0] lib/access.c:check_access(328)
Aug 15 15:01:27 mail smbd[3758]:   Denied connection from  (aaa.bbb.ccc.239)
Aug 15 15:03:34 mail smbd[3775]: [2005/08/15 15:03:34, 0] lib/util_sock.c:get_peer_addr(1000)
Aug 15 15:03:34 mail smbd[3775]:   getpeername failed. Error was Transport endpoint is not connected
Aug 15 15:03:34 mail smbd[3775]: [2005/08/15 15:03:34, 0] lib/util_sock.c:get_peer_addr(1000)
Aug 15 15:03:34 mail smbd[3775]:   getpeername failed. Error was Transport endpoint is not connected
Aug 15 15:03:34 mail smbd[3775]: [2005/08/15 15:03:34, 0] lib/access.c:check_access(328)
Aug 15 15:03:34 mail smbd[3775]: [2005/08/15 15:03:34, 0] lib/util_sock.c:get_peer_addr(1000)
Aug 15 15:03:34 mail smbd[3775]:   getpeername failed. Error was Transport endpoint is not connected
Aug 15 15:03:34 mail smbd[3775]:   Denied connection from  (0.0.0.0)
Aug 15 15:03:34 mail smbd[3775]: [2005/08/15 15:03:34, 0] lib/util_sock.c:get_peer_addr(1000)

Адреси aaa.bbb -- мережа провайдера (Byte -- привіт! ). Я не зрозумію -- в мене що, Samba назовні дивиться? І що за нульові адреси?