Nekonecne dlouhy auth.log

Wed, 10 Dec 2008 01:31:44 -0800 

Zdravim jeste jednou,
v posledni dobe mne celkem dost vytaci nekonecne dlouhe logy se zaznamy, kdy se desitky (nebo stovky) asi zavirovanych pocitacu snazi prihlasit pres ssh na moje servery. V dobach, kdy ty utoky vypadaly tak, ze se jeden stroj snazil o 10000 pokusu s ruznymi jmeny a ruznymi hesly, bylo mozne se snadno ubranit pomoci security/bruteblock. Ustrihl jsem ten stroj po 4 neuspesnych prihlasenich na defaultnich 10 min. a vetsinou to byla dostatecne dlouha doba na to, aby to uz znovu nezkusil. V posledni dobe se ale deje horsi vec, kdy nejaky stroj vyrobi jeden pokus (na vsechny servery) a pak da treba pul dne pokoj. A pak zase jeden pokus. Problem je, ze tech stroju jsou kvanta a pokusy o prihlaseni se objevuji v prumeru jednou za 4 min. A logy jsou toho pak plne. Chtel jsem to varesit tak (a castecne vyresil) tim, ze jsem prislusny log presmeroval na router, cimz tostanu tech pokusu o prihlaseni vic a dany stroj zkusim ustrihnout na tyden. Kdyz to bude malo, tak na mesic (Skoda, ze se v tom bruteblocku neda nastavit, aby to to utocici IP ustrihlo navzdy). Snad toho nebude tak moc a bude mi na to v IPFW stacit tabulka ;-) Narazil jsem tam ale na jeden zadrhel - pokud utocici stroj nema platny PTR zaznam, je v zaznamu v logu IP adresa a bruteblock ji zpracuje: 


Dec 10 10:14:54 ftp sshd[50156]: error: PAM: authentication error for 
illegal user lani from 58.39.145.213



Pokud ale utocici stroj ma platny PTR zaznam, v logu se mi objevi 
domenove jmeno a jsem v haji:



Dec 10 10:14:54 mail sshd[50159]: error: PAM: authentication error for 
illegal user lani from 81-208-90-63.ip.fastwebne.it



bohuzel musim k analyze pouzit tento radek z logu, protoze v pripade, ze 
by bylo uhodnuto username, bude to jediny radek, ktery se v logu objevi 
(jen tam bude chybet ono "illegal user".



Takze - nevite nekdo, kterak donutit sshd resp. PAM (netusim, kdo z nich 
ma obsah uvedeneho radku na svedomi), aby do logu vypisoval IP adresu a 
ne domenove jmeno?



Co pouzivate na obranu pred temito utoky? Nemam strach, ze by se mi 
nekdo do stroje nalamal, jen mne se**u ty nekonecne dlouhe logy.


Zbynek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l






















					Odpovedet emailem