forum.opennet.ru - "SSH авторизация" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"SSH авторизация"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"SSH авторизация"
Сообщение от Pahan (??) on 06-Сен-05, 12:10 (MSK)
Столкнулся с интересной проблемой в ежедневных отчетах freeBSD. Кто-то пытается залогиниться по ssh. С внешней стороны 22 порт закрыт, кроме как для одного адреса (посредством ipfw). Более того, в файле auth.log записи о не удавшейся авторизации нет. Привожу раздел login failures из ежедневного отчета (security run output). srv.domain.ru login failures: Sep 5 07:37:13 srv sshd[3744]: Failed password for admin from 193.194.80.194 port 58316 ssh2 Sep 5 07:37:16 srv sshd[3746]: Failed password for admin from 193.194.80.194 port 58421 ssh2 Sep 5 07:37:19 srv sshd[3750]: Failed password for root from 193.194.80.194 port 58580 ssh2 Sep 5 07:37:23 srv sshd[3752]: Failed password for root from 193.194.80.194 port 58640 ssh2 Sep 5 07:37:24 srv sshd[3754]: Failed password for root from 193.194.80.194 port 58846 ssh2 Sep 5 14:51:57 srv sshd[4735]: Failed password for admin from 140.129.165.211 port 46047 ssh2 Sep 5 20:37:37 srv sshd[5540]: Failed password for admin from 67.19.183.180 port 35863 ssh2 Sep 5 20:37:39 srv sshd[5542]: Failed password for admin from 67.19.183.180 port 35902 ssh2 Sep 5 20:37:42 srv sshd[5546]: Failed password for root from 67.19.183.180 port 35953 ssh2 Sep 5 20:37:44 srv sshd[5548]: Failed password for root from 67.19.183.180 port 35971 ssh2 Sep 5 20:37:46 srv sshd[5550]: Failed password for root from 67.19.183.180 port 35982 ssh2 Может кто сталкивались? P.S. Очень интересно, что записей в auth.log - нет!
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

SSH авторизация, lavr, 12:52 , 06-Сен-05, (1)
- SSH авторизация, LinaS, 13:09 , 06-Сен-05, (2)
  - SSH авторизация, Pahan, 14:14 , 06-Сен-05, (3)
    - SSH авторизация, lavr, 14:23 , 06-Сен-05, (4)
      - SSH авторизация, Pahan, 14:36 , 06-Сен-05, (5)
        
        SSH авторизация, lavr, 14:39 , 06-Сен-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "SSH авторизация"

Сообщение от lavr on 06-Сен-05, 12:52  (MSK)

>Столкнулся с интересной проблемой в ежедневных отчетах freeBSD. Кто-то пытается залогиниться по
>ssh. С внешней стороны 22 порт закрыт, кроме как для одного
>адреса (посредством ipfw). Более того, в файле  auth.log записи о
>не удавшейся авторизации нет. Привожу раздел login failures из ежедневного отчета
>(security run output).
>
>srv.domain.ru login failures:
>Sep  5 07:37:13 srv sshd[3744]: Failed password for admin from 193.194.80.194
>port 58316 ssh2
>Sep  5 07:37:16 srv sshd[3746]: Failed password for admin from 193.194.80.194
>port 58421 ssh2
>Sep  5 07:37:19 srv sshd[3750]: Failed password for root from 193.194.80.194
>port 58580 ssh2
>Sep  5 07:37:23 srv sshd[3752]: Failed password for root from 193.194.80.194
>port 58640 ssh2
>Sep  5 07:37:24 srv sshd[3754]: Failed password for root from 193.194.80.194
>port 58846 ssh2
>Sep  5 14:51:57 srv sshd[4735]: Failed password for admin from 140.129.165.211
>port 46047 ssh2
>Sep  5 20:37:37 srv sshd[5540]: Failed password for admin from 67.19.183.180
>port 35863 ssh2
>Sep  5 20:37:39 srv sshd[5542]: Failed password for admin from 67.19.183.180
>port 35902 ssh2
>Sep  5 20:37:42 srv sshd[5546]: Failed password for root from 67.19.183.180
>port 35953 ssh2
>Sep  5 20:37:44 srv sshd[5548]: Failed password for root from 67.19.183.180
>port 35971 ssh2
>Sep  5 20:37:46 srv sshd[5550]: Failed password for root from 67.19.183.180
>port 35982 ssh2
>
>Может кто сталкивались?
>
>P.S.
>Очень интересно, что записей в auth.log - нет!

это ssh-scan

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "SSH авторизация"

Сообщение от LinaS (??) on 06-Сен-05, 13:09  (MSK)

>это ssh-scan
Только вот непонятно, если
"С внешней стороны 22 порт закрыт, кроме как для одного адреса (посредством ipfw). ",
то каким образом дело доходит до авторизации, да еще и с разных IP? Видимо, не закрыт?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "SSH авторизация"

Сообщение от Pahan (??) on 06-Сен-05, 14:14  (MSK)

>>это ssh-scan
>
>Только вот непонятно, если
>"С внешней стороны 22 порт закрыт, кроме как для одного адреса (посредством
>ipfw). ",
>то каким образом дело доходит до авторизации, да еще и с разных
>IP? Видимо, не закрыт?
А если сканер запустили внутри сети? (для внутреннего интерфейса allow ip from any to any).
P.S.
А почему в auth.log записи не попали?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "SSH авторизация"

Сообщение от lavr on 06-Сен-05, 14:23  (MSK)

>>>это ssh-scan
>>
>>Только вот непонятно, если
>>"С внешней стороны 22 порт закрыт, кроме как для одного адреса (посредством
>>ipfw). ",
>>то каким образом дело доходит до авторизации, да еще и с разных
>>IP? Видимо, не закрыт?
>
>А если сканер запустили внутри сети? (для внутреннего интерфейса allow ip from
>any to any).
>
>P.S.
>А почему в auth.log записи не попали?
а это смотри sshd_config, ну или возможно scan кривой и его хватает только
на соединение и login, а до перебора password дело не доходит.
Это лишь предположение, все нужно конкретно смотреть: tcpdump там например
и определение mac[ip] откуда идет попытка ssh-scan и с каких портов.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "SSH авторизация"

Сообщение от Pahan (??) on 06-Сен-05, 14:36  (MSK)

Даже если пароль не верный, отчет о соединении по ssh должен упасть в auth.log. Но для таких соединений записей нет. Вот что странно.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "SSH авторизация"

Сообщение от lavr on 06-Сен-05, 14:39  (MSK)

>Даже если пароль не верный, отчет о соединении по ssh должен упасть
>в auth.log. Но для таких соединений записей нет. Вот что странно.
>
если ты все знаешь - зачем спрашиваешь, лично мне неизвестно что там и куда
должно упасть, как настрою так и будет.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "SSH авторизация"
Сообщение от lavr on 06-Сен-05, 12:52 (MSK)
>Столкнулся с интересной проблемой в ежедневных отчетах freeBSD. Кто-то пытается залогиниться по >ssh. С внешней стороны 22 порт закрыт, кроме как для одного >адреса (посредством ipfw). Более того, в файле auth.log записи о >не удавшейся авторизации нет. Привожу раздел login failures из ежедневного отчета >(security run output). > >srv.domain.ru login failures: >Sep 5 07:37:13 srv sshd[3744]: Failed password for admin from 193.194.80.194 >port 58316 ssh2 >Sep 5 07:37:16 srv sshd[3746]: Failed password for admin from 193.194.80.194 >port 58421 ssh2 >Sep 5 07:37:19 srv sshd[3750]: Failed password for root from 193.194.80.194 >port 58580 ssh2 >Sep 5 07:37:23 srv sshd[3752]: Failed password for root from 193.194.80.194 >port 58640 ssh2 >Sep 5 07:37:24 srv sshd[3754]: Failed password for root from 193.194.80.194 >port 58846 ssh2 >Sep 5 14:51:57 srv sshd[4735]: Failed password for admin from 140.129.165.211 >port 46047 ssh2 >Sep 5 20:37:37 srv sshd[5540]: Failed password for admin from 67.19.183.180 >port 35863 ssh2 >Sep 5 20:37:39 srv sshd[5542]: Failed password for admin from 67.19.183.180 >port 35902 ssh2 >Sep 5 20:37:42 srv sshd[5546]: Failed password for root from 67.19.183.180 >port 35953 ssh2 >Sep 5 20:37:44 srv sshd[5548]: Failed password for root from 67.19.183.180 >port 35971 ssh2 >Sep 5 20:37:46 srv sshd[5550]: Failed password for root from 67.19.183.180 >port 35982 ssh2 > >Может кто сталкивались? > >P.S. >Очень интересно, что записей в auth.log - нет! это ssh-scan
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "SSH авторизация"
	Сообщение от LinaS (??) on 06-Сен-05, 13:09 (MSK)
	>это ssh-scan Только вот непонятно, если "С внешней стороны 22 порт закрыт, кроме как для одного адреса (посредством ipfw). ", то каким образом дело доходит до авторизации, да еще и с разных IP? Видимо, не закрыт?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "SSH авторизация"
	Сообщение от Pahan (??) on 06-Сен-05, 14:14 (MSK)
	>>это ssh-scan > >Только вот непонятно, если >"С внешней стороны 22 порт закрыт, кроме как для одного адреса (посредством >ipfw). ", >то каким образом дело доходит до авторизации, да еще и с разных >IP? Видимо, не закрыт? А если сканер запустили внутри сети? (для внутреннего интерфейса allow ip from any to any). P.S. А почему в auth.log записи не попали?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "SSH авторизация"
	Сообщение от lavr on 06-Сен-05, 14:23 (MSK)
	>>>это ssh-scan >> >>Только вот непонятно, если >>"С внешней стороны 22 порт закрыт, кроме как для одного адреса (посредством >>ipfw). ", >>то каким образом дело доходит до авторизации, да еще и с разных >>IP? Видимо, не закрыт? > >А если сканер запустили внутри сети? (для внутреннего интерфейса allow ip from >any to any). > >P.S. >А почему в auth.log записи не попали? а это смотри sshd_config, ну или возможно scan кривой и его хватает только на соединение и login, а до перебора password дело не доходит. Это лишь предположение, все нужно конкретно смотреть: tcpdump там например и определение mac[ip] откуда идет попытка ssh-scan и с каких портов.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "SSH авторизация"
	Сообщение от Pahan (??) on 06-Сен-05, 14:36 (MSK)
	Даже если пароль не верный, отчет о соединении по ssh должен упасть в auth.log. Но для таких соединений записей нет. Вот что странно.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "SSH авторизация"
	Сообщение от lavr on 06-Сен-05, 14:39 (MSK)
	>Даже если пароль не верный, отчет о соединении по ssh должен упасть >в auth.log. Но для таких соединений записей нет. Вот что странно. > если ты все знаешь - зачем спрашиваешь, лично мне неизвестно что там и куда должно упасть, как настрою так и будет.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]