Page 1 of 1
Вопрос по SSH
Posted: Tue Feb 23, 2016 10:35 pm
by Agat
График в панели управления показывает вот это:
команда last вот это:
Code: Select all
last
root pts/0 xxx.xx.xx.192 Sat Feb 20 21:14 still logged in
root pts/0 xxx.xx.xx.192 Sat Feb 20 10:14 - 10:22 (00:07)
reboot system boot 3.13.0-66-generi Fri Feb 19 15:47 - 01:26 (4+09:38)
На графике я вижу пять соединений некоторое время назад. Как узнать, что это были за соединения?
Re: Вопрос по SSH
Posted: Wed Feb 24, 2016 8:03 am
by Alex Connor
По всей видимости попытки подобрать пароль
Re: Вопрос по SSH
Posted: Wed Feb 24, 2016 9:02 am
by Agat
Alex Connor wrote:По всей видимости попытки подобрать пароль
То есть, график показывает не количество успешных аутентификаций, а просто факт обращения по команде
ssh user@ip?
Re: Вопрос по SSH
Posted: Wed Feb 24, 2016 3:30 pm
by imperio
Попытки авторизации под root, подбор пароля.
Подробнее можно увидеть в журнале подключений
Re: Вопрос по SSH
Posted: Wed Feb 24, 2016 5:42 pm
by Agat
imperio wrote:Попытки авторизации под root, подбор пароля.
Подробнее можно увидеть в журнале подключений
Спасибо. По маске secure* у меня в /var/log/ ничего нет.
При просмотре auth.log часто попадаются вот такие, повторяющиеся куски, в которых нет моего IP.
Code: Select all
Feb 24 19:33:20 sshd[26804]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114 user=root
Feb 24 19:33:22 sshd[26804]: Failed password for root from 183.3.202.114 port 30942 ssh2
Feb 24 19:33:27 sshd[26804]: message repeated 2 times: [ Failed password for root from 183.3.202.114 port 30942 ssh2]
Feb 24 19:33:27 sshd[26804]: Received disconnect from 183.3.202.114: 11: [preauth]
Feb 24 19:33:27 sshd[26804]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114 user=root
Feb 24 19:33:29 sshd[26883]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114 user=root
Feb 24 19:33:31 sshd[26883]: Failed password for root from 183.3.202.114 port 20558 ssh2
Feb 24 19:33:35 sshd[26883]: message repeated 2 times: [ Failed password for root from 183.3.202.114 port 20558 ssh2]
Feb 24 19:33:35 sshd[26883]: Received disconnect from 183.3.202.114: 11: [preauth]
Feb 24 19:33:35 sshd[26883]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114 user=root
Feb 24 19:33:37 sshd[26885]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114 user=root
Feb 24 19:33:39 sshd[26885]: Failed password for root from 183.3.202.114 port 63355 ssh2
Feb 24 19:33:43 sshd[26885]: message repeated 2 times: [ Failed password for root from 183.3.202.114 port 63355 ssh2]
Feb 24 19:33:43 sshd[26885]: Received disconnect from 183.3.202.114: 11: [preauth]
Feb 24 19:33:43 sshd[26885]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114 user=root
Feb 24 19:33:48 sshd[26887]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=183.3.202.114 user=root
Feb 24 19:33:50 sshd[26887]: Failed password for root from 183.3.202.114 port 48746 ssh2
А в fail2ban.log
Code: Select all
2016-02-24 18:31:30,290 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114
2016-02-24 18:41:30,781 fail2ban.actions: WARNING [ssh-iptables] Unban 183.3.202.114
2016-02-24 18:51:50,447 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114
2016-02-24 19:01:51,145 fail2ban.actions: WARNING [ssh-iptables] Unban 183.3.202.114
2016-02-24 19:10:51,704 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114
2016-02-24 19:14:09,929 fail2ban.actions: WARNING [ssh-iptables] Ban 104.41.60.151
2016-02-24 19:20:52,393 fail2ban.actions: WARNING [ssh-iptables] Unban 183.3.202.114
2016-02-24 19:24:10,628 fail2ban.actions: WARNING [ssh-iptables] Unban 104.41.60.151
2016-02-24 19:33:51,198 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114
2016-02-24 19:43:51,867 fail2ban.actions: WARNING [ssh-iptables] Unban 183.3.202.114
2016-02-24 20:20:25,958 fail2ban.actions: WARNING [ssh-iptables] Ban 183.3.202.114
Надо ли на это обращать внимание, предпринимать какие-то действия (банить ip или ещё что)? Или всё по плану?
Удачных заходов не с моего IP вроде не обнаружил. Пароль состоит из 28 случайно сгенерированных символов. То есть, метод перебора, на мой взгляд, не должен пройти.
Re: Вопрос по SSH
Posted: Wed Feb 24, 2016 6:02 pm
by imperio
Вероятность подбора пароля в данном случае не возможна.
К примеру
Code: Select all
Feb 24 19:33:39 sshd[26885]: Failed password for root from 183.3.202.114 port 63355 ssh2
означает что попытка подбора производилась с 183.3.202.114 и была не успешной.
Надо ли на это обращать внимание
Не надо. При превышении не правильных логинов от рута, fail2ban сам банит такие ip
Re: Вопрос по SSH
Posted: Wed Feb 24, 2016 8:09 pm
by Mr.Erbutw
imperio wrote:Вероятность подбора пароля в данном случае не возможна.
К примеру
Code: Select all
Feb 24 19:33:39 sshd[26885]: Failed password for root from 183.3.202.114 port 63355 ssh2
означает что попытка подбора производилась с 183.3.202.114 и была не успешной.
Надо ли на это обращать внимание
Не надо. При превышении не правильных логинов от рута, fail2ban сам банит такие ip
Насчет fail2ban , не знаю ли зарегистрирована задача в bugs.vestacp.com с отображением забаненых (vestacp) или нет.
Re: Вопрос по SSH
Posted: Wed Feb 24, 2016 8:23 pm
by imperio
Mr.Erbutw wrote:imperio wrote:Вероятность подбора пароля в данном случае не возможна.
К примеру
Code: Select all
Feb 24 19:33:39 sshd[26885]: Failed password for root from 183.3.202.114 port 63355 ssh2
означает что попытка подбора производилась с 183.3.202.114 и была не успешной.
Надо ли на это обращать внимание
Не надо. При превышении не правильных логинов от рута, fail2ban сам банит такие ip
Насчет fail2ban , не знаю ли зарегистрирована задача в bugs.vestacp.com с отображением забаненых (vestacp) или нет.
Посмотри ОП
А что с отображением? Насколько я помню это пофиксили вс 15 версии.
Re: Вопрос по SSH
Posted: Tue Mar 01, 2016 3:26 pm
by one
Как вариант. что бы спать спокойно и что бы не засирались логи, смените стандартный порт у SSH, только в фаирволе не забудьте порт тоже поменять.
Re: Вопрос по SSH
Posted: Tue Mar 01, 2016 3:33 pm
by Agat
one wrote:Как вариант. что бы спать спокойно и что бы не засирались логи, смените стандартный порт у SSH, только в фаирволе не забудьте порт тоже поменять.
Шарик, Ты балбес! (с) это я про себя :)
Я порт менял, а в фаирволе нет. Спасибо!