Задолбали ssh-сканеры!

enyuri · 20 Май 2006

Привет!
Если ты читаешь эти строки, значит знаешь, про что я говорю.
Меня совсем задолбали, и я решил положить этому конец. Способов много, но я расскажу самый мне приглянувшийся по блокировке bruteforce роботов. Идея кроется в ограничении установленных коннекций на 22 порт за единицу времени. Для Линукса и iptabes это выглядит так:
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j REJECT
Эти правила разрешают устанавливать только 3 коннекции в течении минуты. Роботы не выносят ждать долго, и после трех попыток уходят.

Удачи!

Bad_Boy · 25 Май 2006

О, это как раз то что мне нужно. Только у меня FreeBSD. Не подскажете как сделать тоже самое в ipfw ?

E-van · 25 Май 2006

присоединяюсь к просьбе Bad_Boy - тоже актуально для freebsd

_ada · 26 Май 2006

А нафига? Рута ssh все равно не пустит, если он правильно настроен, а подбирать кроме пароля еще и логин -- занятие мягко говоря бесперспективное.

GM. · 26 Май 2006

для фрюхи в /etc/ssh/sshd.config

MaxStartups 5:50:10
# после 5 неправильных регистраций, отторгать 50% новых подключений, и
# не отвечать совсем, если число неправильных регистраций превысило 10

prox · 7 Июн 2006

Весьма полезная вешь

tsar · 8 Июн 2006

А может просто зарезать 22 порт на маршрутизаторе со всего, кроме нужного, ну или использовать hosts.allow

shalomp1 · 16 Июн 2006

a 4o eto takoe ssh ???

n025 · 21 Июн 2006

Bad_Boy написал(а):
О, это как раз то что мне нужно. Только у меня FreeBSD. Не подскажете как сделать тоже самое в ipfw ?

есть статья как зарубать боты тока она для pf, он ип откуда долбяца добовляет в блэк лист и враг побеждён) во фре он есть. в ipfw к сожалению так нельзя (если тока руками.

enyuri · 22 Июн 2006

shalomp1 написал(а):
a 4o eto takoe ssh ???

Security SHell
Типа telnet, но использующий шифрованную передачу данных между клиентом и сервером.

ant · 29 Июн 2006

По-моему, проще всего порт закрыть и не мучаться

Silver Ghost · 2 Июл 2006

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

На 22 коннект закрыт пока не стукнешься на 1500.
telnet myhost 1500
и мой IP заносится в список, теперь можно на 22 коннектить...

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

telnet myhost 1501
или
telnet myhost 1499
и мой IP выносится из спискф, теперь 22 порт опять закрыт...

Vah · 10 Июл 2006

Давно уже читаю тему.....
проще всего в конфиг ссхд настроить.......... ничего страшного в брутфорсе не вижу при нормальньй настройке ссхд и пароле не в 2-3 символа а минимум в 8....

Непонимаю такого параноидального везде и всюду юзать файрвол и зарубать все что можно......
Давайте тогда отключим все сервера от сети чтоб их недайбоже не просканировали......

ЗЫ: mail.ru регулярно сканируют мои сервера на наличие анонимных проксей и open relay'ев...... и что мне теперь банить их зверски??

tsar · 10 Июл 2006

Vah написал(а):
ЗЫ: mail.ru регулярно сканируют мои сервера на наличие анонимных проксей и open relay'ев...... и что мне теперь банить их зверски??

В баню этих негодяев

)

ilya_kz · 18 Сен 2006

Спасибо.

Silver Ghost написал(а):
Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

На 22 коннект закрыт пока не стукнешься на 1500.
telnet myhost 1500
и мой IP заносится в список, теперь можно на 22 коннектить...

Нашел на опеннете.

iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 22 -m recent --rcheck --name SSH -j ACCEPT
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1499 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1500 -m recent --name SSH --set -j DROP
iptables -A INPUT -d $INADDR -m state --state NEW -m tcp -p tcp --dport 1501 -m recent --name SSH --remove -j DROP
iptables -A INPUT -d $INADDR -p tcp --dport 22 -j DROP

telnet myhost 1501
или
telnet myhost 1499
и мой IP выносится из спискф, теперь 22 порт опять закрыт...

Спасибо все работает.

Задолбали ssh-сканеры!

enyuri

Bad_Boy

Турист

E-van

_ada

GM.

Турист

prox

Турист

tsar

Турист

shalomp1

Турист

n025

Турист

enyuri

ant

Турист

Silver Ghost

Турист

Vah

tsar

Турист

ilya_kz

Похожие темы