BSDPORTAL.RU
http://bsdportal.ru/

sshd отваливается после атаки
http://bsdportal.ru/viewtopic.php?f=23&t=26921
Страница 1 из 1

Автор:  robert1307 [ Пн 03 ноя, 2014 10:35 pm ]
Заголовок сообщения:  sshd отваливается после атаки

Наблюдаю такую ситуацию практически на всех серверах: после неудавшихся попыток захода root-ом (который отключен по умолчанию) - в основном с китайских серверов, остаются висеть много sshd процессов:
Код:
69351 root      122   0 86088  6748     0 S  0.0  0.0  0:00.01 sshd: robert [priv]
68777 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68776 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68775 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68768 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68767 root      120   0 80760  6708     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68766 root      120   0 78704  6700     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68760 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68759 root      121   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68758 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68757 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68752 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68751 root      120   0 76620  6652     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68750 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68749 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68748 root      120   0 84872  6736     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68746 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68745 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68743 root      120   0 76620  6652     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68728 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68727 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68724 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68716 root      120   0 74560  6636     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68715 root      120   0 74560  6636     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68712 root      120   0 78704  6700     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68710 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68709 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68706 root      120   0 80760  6708     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68705 root      120   0 80760  6708     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68700 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68699 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68695 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]


Код:
tcp4       0      0 69.64.43.205.22        61.174.49.109.46446    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.46445    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.46444    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40462    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40460    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40461    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40459    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40303    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40122    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35478    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35477    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35476    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35002    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35001    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57025    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57026    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57007    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57012    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57008    CLOSE_WAIT


которые мешают заходить нормальным юзерам, приходиться их убивать руками. Какие есть варианты это обойти, кроме использования ipfw ?

Автор:  xemul [ Вт 04 ноя, 2014 12:03 am ]
Заголовок сообщения:  Re: sshd отваливается после атаки

Гуглояндекс говорит мне, что PAM c sshd использовать уже не модно.
Еще говорит, что в портах есть что-то вроде sshit, sshguard, ... (правда, они таки завязаны на файрвол).
Или можно использовать что-то вроде knockd (опять без файрволов не получится).
Если не любы подобные прилады, но отвращение к файрволу преодолимо, то что-нить вроде `ipfw add allow tcp from any to me dst-port ssh setup limit src-addr 3` достаточно действенно.
Но если вдруг аллергия на файрволы всерьёз и надолго, то можно повесить sshd на другой порт.

Если гуглояндексы не хотят с Вами общаться, спрашивайте, не стесняйтесь.

Автор:  robert1307 [ Вт 04 ноя, 2014 3:47 am ]
Заголовок сообщения:  Re: sshd отваливается после атаки

Не знаю насчет моды, но по умолчанию даже на 10-ке именно PAM (что говорит о том, что на 99% FreeBSD серверов мира оставлено это умолчание).
Фаервол использовать не могу по причине высоконагруженности.
sshd на другой порт - как вариант.
Сама ситуация с бесконечно висящим CLOSE_WAIT - баг sshd, он должен закрыть соединение, но не делает этого.

Автор:  grayich [ Вт 04 ноя, 2014 4:54 am ]
Заголовок сообщения:  Re: sshd отваливается после атаки

какая версия фри?

Автор:  robert1307 [ Вт 04 ноя, 2014 4:56 am ]
Заголовок сообщения:  Re: sshd отваливается после атаки

10.0-RELEASE-p4

Автор:  grayich [ Вт 04 ноя, 2014 5:22 am ]
Заголовок сообщения:  Re: sshd отваливается после атаки

смена порта помогает на время, пока боты не найдут новый порт

возможно поможет sysctl net.inet.tcp.msl=5000 -- ...5000=10сек вроде
по умолчанию net.inet.tcp.msl: 30000 -- а это минута

Автор:  lavr [ Вт 04 ноя, 2014 1:03 pm ]
Заголовок сообщения:  Re: sshd отваливается после атаки

grayich писал(а):
смена порта помогает на время, пока боты не найдут новый порт

возможно поможет sysctl net.inet.tcp.msl=5000 -- ...5000=10сек вроде
по умолчанию net.inet.tcp.msl: 30000 -- а это минута


и тем не менее смена порта хорошо помогает, но для порядку и привычки, лучше на всех
серверах сменить порт ssh на единый высокий.

в дополнение к сказанному, можно воспользоваться некоторыми настройками sshd_config:

LoginGraceTime - default 2min (120 seconds)
MaxAuthTries (default 6)
MaxStartups (можно поиграть, но опасно)
AllowUsers + Match

Уменьшить LoginGraceTime, MaxAuthTries и использовать AllowUsers + Match - на всех серверах где
практически нет интерактивных пользователей, при этом желаетельно иметь бастион с ssh на который
можно зайти откуда угодно.

ps. Ну и отправить письмо по форме на держателя блока по whois, никто не отменял.

Автор:  RemiZOffAlex [ Чт 06 ноя, 2014 7:39 pm ]
Заголовок сообщения:  Re: sshd отваливается после атаки

Рекомендую использовать скрипт, отслеживающий активность соединений через sockstat (netstat), а также попытки брутфорса по логам.

Автор:  grayich [ Чт 06 ноя, 2014 8:01 pm ]
Заголовок сообщения:  Re: sshd отваливается после атаки

RemiZOffAlex, а толку, фаервола то нет, чем блочить.

Автор:  xemul [ Чт 06 ноя, 2014 9:20 pm ]
Заголовок сообщения:  Re: sshd отваливается после атаки

Уж не знаю, чем у ТС так нагружен сервер, но сомневаюсь, что мониторинг логов и обработка ipfw одной таблицы займут хотя бы 0.01% процового времени. Но хозяин - барин.

Автор:  robert1307 [ Пт 07 ноя, 2014 7:03 am ]
Заголовок сообщения:  Re: sshd отваливается после атаки

Одни и те же sshd процессы висят по несколько дней, вряд ли с таймаутами стоит играть, любое умолчание должно быть меньше, тут чето не то с sshd самим.
ipfw оч. сильно тормозит все даже при 1к запросов\сек, а у меня их на порядок больше.

Автор:  grayich [ Пт 07 ноя, 2014 11:24 am ]
Заголовок сообщения:  Re: sshd отваливается после атаки

robert1307 писал(а):
тут чето не то с sshd самим.
там кстати патчей разных вышло в последнее время, возможно стоит перейти на 10-stable
robert1307 писал(а):
ipfw оч. сильно тормозит все даже при 1к запросов\сек
а вот это странно, 1000 не должно тормозить даже на P3железяках

Автор:  robert1307 [ Чт 13 ноя, 2014 10:24 pm ]
Заголовок сообщения:  Re: sshd отваливается после атаки

Накатил все последние апдейты (freebsd-update) за последние две недели (sshd поменялся), теперь после атак процессы перестали висеть в CLOSE_WAIT, вопрос закрыт, всем спасибо.

Автор:  fidaj [ Пт 14 ноя, 2014 3:18 am ]
Заголовок сообщения:  Re: sshd отваливается после атаки

чаще нужно следить за https://www.freebsd.org/security/advisories.html ;)
не оно случаем? https://www.freebsd.org/security/adviso ... 4.sshd.asc ;)

Автор:  robert1307 [ Пн 17 ноя, 2014 10:44 am ]
Заголовок сообщения:  Re: sshd отваливается после атаки

похоже что оно. ) Тема, кстати, создана за день до появления патча...)

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/