BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 15 ] 
Автор Сообщение
 Заголовок сообщения: sshd отваливается после атаки
СообщениеДобавлено: Пн 03 ноя, 2014 10:35 pm 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 26
Наблюдаю такую ситуацию практически на всех серверах: после неудавшихся попыток захода root-ом (который отключен по умолчанию) - в основном с китайских серверов, остаются висеть много sshd процессов:
Код:
69351 root      122   0 86088  6748     0 S  0.0  0.0  0:00.01 sshd: robert [priv]
68777 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68776 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68775 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68768 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68767 root      120   0 80760  6708     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68766 root      120   0 78704  6700     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68760 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68759 root      121   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68758 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68757 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68752 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68751 root      120   0 76620  6652     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68750 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68749 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68748 root      120   0 84872  6736     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68746 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68745 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68743 root      120   0 76620  6652     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68728 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68727 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68724 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68716 root      120   0 74560  6636     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68715 root      120   0 74560  6636     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68712 root      120   0 78704  6700     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68710 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68709 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68706 root      120   0 80760  6708     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68705 root      120   0 80760  6708     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68700 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68699 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68695 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]


Код:
tcp4       0      0 69.64.43.205.22        61.174.49.109.46446    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.46445    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.46444    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40462    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40460    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40461    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40459    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40303    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40122    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35478    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35477    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35476    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35002    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35001    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57025    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57026    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57007    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57012    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57008    CLOSE_WAIT


которые мешают заходить нормальным юзерам, приходиться их убивать руками. Какие есть варианты это обойти, кроме использования ipfw ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 12:03 am 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 589
Гуглояндекс говорит мне, что PAM c sshd использовать уже не модно.
Еще говорит, что в портах есть что-то вроде sshit, sshguard, ... (правда, они таки завязаны на файрвол).
Или можно использовать что-то вроде knockd (опять без файрволов не получится).
Если не любы подобные прилады, но отвращение к файрволу преодолимо, то что-нить вроде `ipfw add allow tcp from any to me dst-port ssh setup limit src-addr 3` достаточно действенно.
Но если вдруг аллергия на файрволы всерьёз и надолго, то можно повесить sshd на другой порт.

Если гуглояндексы не хотят с Вами общаться, спрашивайте, не стесняйтесь.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 3:47 am 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 26
Не знаю насчет моды, но по умолчанию даже на 10-ке именно PAM (что говорит о том, что на 99% FreeBSD серверов мира оставлено это умолчание).
Фаервол использовать не могу по причине высоконагруженности.
sshd на другой порт - как вариант.
Сама ситуация с бесконечно висящим CLOSE_WAIT - баг sshd, он должен закрыть соединение, но не делает этого.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 4:54 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3305
Откуда: Харьков
какая версия фри?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 4:56 am 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 26
10.0-RELEASE-p4


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 5:22 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3305
Откуда: Харьков
смена порта помогает на время, пока боты не найдут новый порт

возможно поможет sysctl net.inet.tcp.msl=5000 -- ...5000=10сек вроде
по умолчанию net.inet.tcp.msl: 30000 -- а это минута


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 1:03 pm 
Не в сети

Зарегистрирован: Пт 03 сен, 2004 1:26 pm
Сообщения: 2383
grayich писал(а):
смена порта помогает на время, пока боты не найдут новый порт

возможно поможет sysctl net.inet.tcp.msl=5000 -- ...5000=10сек вроде
по умолчанию net.inet.tcp.msl: 30000 -- а это минута


и тем не менее смена порта хорошо помогает, но для порядку и привычки, лучше на всех
серверах сменить порт ssh на единый высокий.

в дополнение к сказанному, можно воспользоваться некоторыми настройками sshd_config:

LoginGraceTime - default 2min (120 seconds)
MaxAuthTries (default 6)
MaxStartups (можно поиграть, но опасно)
AllowUsers + Match

Уменьшить LoginGraceTime, MaxAuthTries и использовать AllowUsers + Match - на всех серверах где
практически нет интерактивных пользователей, при этом желаетельно иметь бастион с ssh на который
можно зайти откуда угодно.

ps. Ну и отправить письмо по форме на держателя блока по whois, никто не отменял.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Чт 06 ноя, 2014 7:39 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 23 июн, 2010 1:01 pm
Сообщения: 495
Рекомендую использовать скрипт, отслеживающий активность соединений через sockstat (netstat), а также попытки брутфорса по логам.

_________________
Самурай без меча подобен самураю с мечом, но только без меча, однако как-будто с мечом, которого у него нет, но и без него он как с ним...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Чт 06 ноя, 2014 8:01 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3305
Откуда: Харьков
RemiZOffAlex, а толку, фаервола то нет, чем блочить.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Чт 06 ноя, 2014 9:20 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 589
Уж не знаю, чем у ТС так нагружен сервер, но сомневаюсь, что мониторинг логов и обработка ipfw одной таблицы займут хотя бы 0.01% процового времени. Но хозяин - барин.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Пт 07 ноя, 2014 7:03 am 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 26
Одни и те же sshd процессы висят по несколько дней, вряд ли с таймаутами стоит играть, любое умолчание должно быть меньше, тут чето не то с sshd самим.
ipfw оч. сильно тормозит все даже при 1к запросов\сек, а у меня их на порядок больше.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Пт 07 ноя, 2014 11:24 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3305
Откуда: Харьков
robert1307 писал(а):
тут чето не то с sshd самим.
там кстати патчей разных вышло в последнее время, возможно стоит перейти на 10-stable
robert1307 писал(а):
ipfw оч. сильно тормозит все даже при 1к запросов\сек
а вот это странно, 1000 не должно тормозить даже на P3железяках


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Чт 13 ноя, 2014 10:24 pm 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 26
Накатил все последние апдейты (freebsd-update) за последние две недели (sshd поменялся), теперь после атак процессы перестали висеть в CLOSE_WAIT, вопрос закрыт, всем спасибо.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Пт 14 ноя, 2014 3:18 am 
Не в сети

Зарегистрирован: Вс 05 июн, 2005 4:19 pm
Сообщения: 3148
Откуда: Мезозой Пангея
чаще нужно следить за https://www.freebsd.org/security/advisories.html ;)
не оно случаем? https://www.freebsd.org/security/adviso ... 4.sshd.asc ;)

_________________
Ми можемо все - що здатні собі уявити!
uname -a
Linux nonamehost 5.2.11-zen-my-ksm-muqss+ #1 ZEN SMP Thu Aug 29 14:11:55 EEST 2019 x86_64 x86_64 x86_64 GNU/Linux


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Пн 17 ноя, 2014 10:44 am 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 26
похоже что оно. ) Тема, кстати, создана за день до появления патча...)


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 15 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика