• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Atak (Brute Force?) na serwer FTP / SSH na moim Raspberry Pi.

VPS Starter Arubacloud
+1 głos
450 wizyt
pytanie zadane 19 kwietnia 2020 w Bezpieczeństwo, hacking przez kubekszklany Gaduła (3,170 p.)

Witam. Mam w domu server coś jak raspberrypi, ale z innej firmy. Ostatnio coś nie chciało mi działać FTP, po prostu wywalał błąd, że host nie odpowiada przy próbie przesłania pliku. Jeszcze tego nie naprawiłem, ale jak patrzyłem w logi zaniepokoiło mnie to:

Jest to log z zaledwie 1 minuty, zakładam że ktoś próbuje dostać się na server (tak, mam publiczne ip, ale miało ono służyć mi, nie hakerom). I zastanawiam się czy jeśli faktycznie jest to jakiś brute-force co będzie najlepszym rozwiązaniem żeby to zablokować? Najlepiej coś takiego żeby po kilku nieudanych próbach blokowało dany adres ip (ale tak żebym ja dalej mógł się zalogować) i wysyłało do mnie jakieś powiadomienie albo chociaż zapisywało logi. A i jeszcze jedno, czemu tych adresów jest aż tyle, za każdym razem jest inny? Czyżby to był jakiś ddos?

komentarz 19 kwietnia 2020 przez jaszczomb Nowicjusz (140 p.)
Masz domyślny port dla protokołu SSH i możliwość logowania do serwera za pomocą roota?
komentarz 19 kwietnia 2020 przez kubekszklany Gaduła (3,170 p.)
Mam domyślny port, bo tego nigdy nie zmieniałem, a co do logowania za pomocą roota to też, ale tego wolałbym nie zmieniać, bo jak otworzę sobie putty z winscp to od razu jestem zalogowany jako root.
1
komentarz 19 kwietnia 2020 przez jaszczomb Nowicjusz (140 p.)

@kubekszklany, Na podstawie moich doświadczeń z serwerami nazwałbym nawet zmianę tych dwóch opcji obowiązkowymi. 

Większość ataków prowadzonych przez boty jest nastawiona właśnie na domyślny port 22, w zasadzie żeby to zmienić wystarczy komenda:

nano /etc/ssh/sshd_config

Następnie musisz odnaleźć stosowny wiesz gdzie będzie wpisany ten port i usunąć # jeśli jest to koniecznie. Ostatnim krokiem do szczęścia jest zrestartowanie, czyli komenda jaka musisz wykonać to:

/etc/init.d/ssh restart

Teraz żeby się zalogować będziesz musiał koniecznie podać port protokołu taki jaki ustawiłeś uprzednio.

Co do tego roota. Według mnie to bardzo ryzykowne zezwalać na logowanie poprzez domyślnego użytkownika ale jest to twój wybór. W zasadzie powinno się korzystać z użytkownika który ma ograniczone uprawnienia, a z roota jedynie kiedy zachodzi taka konieczność. Po zalogowaniu na takiego użytkownika z ograniczonymi uprawnieniami mógłbyś sobie przejść z powrotem na roota komendą su root. Chodzi tu głównie o pierwsze logowanie do systemu. (To zdanie może komicznie brzmi ale nie potrafię tłumaczyć :x.)

komentarz 19 kwietnia 2020 przez kubekszklany Gaduła (3,170 p.)
A jest możliwość żeby na roota logować się jedynie z 1 adresu ip? Wpisał bym tam swój adres ip z lanu i w domu miałbym bez zmian, a poza domem bym się logował na innego użytkowania i dopiero zmieniał na roota? Bo jednak dużo częściej z domu się loguje, ale poza domem tez się zdarza.
komentarz 19 kwietnia 2020 przez jaszczomb Nowicjusz (140 p.)

Z tego co wyczytałem przed chwilą na internecie to jest taka możliwość w pliku:

/etc/hosts.allow

Ale te kwestie już pozostawiam tobie bo ja nie chcę Cię wprowadzić w błąd. Na internecie znajdziesz dużo poradników 

1 odpowiedź

+2 głosów
odpowiedź 19 kwietnia 2020 przez adrian17 Ekspert (344,100 p.)
wybrane 19 kwietnia 2020 przez kubekszklany
 
Najlepsza

bo jak otworzę sobie putty z winscp to od razu jestem zalogowany jako root.

To jest wada, nie zaleta.

tak, mam publiczne ip

No to losowe boty będą Cię spamowały próbami wejścia na serwer. Praktycznie każdy publiczny serwer z SSH ma podobnie wyglądające logi :)

Proponuję instalację fail2ban, ale idealnie byłoby w ogóle wyłączyć autentykację hasłem i używać wyłącznie klucz SSH.

A, ostatnia rzecz:

nie chciało mi działać FTP

Jak masz SSH, to nie potrzebujesz FTP. Po tym samym porcie co SSH możesz się połączyć po SFTP i analogicznie przerzucać pliki po sieci - a znacznie bezpieczniej. Osobny serwer FTP można w ogóle wyrzucić.

komentarz 19 kwietnia 2020 przez kubekszklany Gaduła (3,170 p.)
Napisałem ftp a miałem na myśli sftp. Co do fail2ban, to zainstalowałem kiedyś, gdy jeszcze używałem vpsa zamiast własnego mikrokomputera, ale skończyło się to na tym, że za każdym razem gdy chciałem wejść musiałem robić reset, bo fail2ban zwracał komunikat że przekroczono ilość prób. A co do autentyfikacji kluczem ssh, to chyba też odpada, bo zalezy mi na tym, żeby server ssh był dostępny wszędzie, bo ogólnie to jestem "informatykiem", tzn. uczę się, więc czasami mi dostęp jest potrzebny, tak samo sftp, bo ten mikrokomputer robi za taki duży "dysk google".
komentarz 19 kwietnia 2020 przez adrian17 Ekspert (344,100 p.)

za każdym razem gdy chciałem wejść musiałem robić reset, bo fail2ban zwracał komunikat że przekroczono ilość prób

To.. to brzmi podejrzanie. Albo była zła konfiguracja, albo Twój własny pecet (IP) robił coś podejrzanego :P

bo zalezy mi na tym, żeby server ssh był dostępny wszędzie

"wszędzie" z każdej lokalizacji czy "wszędzie" z dowolnej maszyny? :/

komentarz 19 kwietnia 2020 przez kubekszklany Gaduła (3,170 p.)
Miałem na myśli to, że najczęściej korzystam z domu, gdzie mam stałe ip, ale zdarza mi się też łączyć z innych miejsc, czy też np. przez dane pakietowe z telefonu.
komentarz 19 kwietnia 2020 przez adrian17 Ekspert (344,100 p.)
Jeśli używasz tej samej maszyny, to nie ma problemu - klucz SSH jest związany z maszyną (konkretniej plikiem na maszynie), nie IP.
komentarz 19 kwietnia 2020 przez kubekszklany Gaduła (3,170 p.)

Wolałbym jednak zostać przy haśle, nie jest to aż tak "poważny" server, używam go prywatnie. A co do fail2ban, to zainstalowałem, ale mam błąd przy próbie uruchomiania, coś mi ten fail2ban "nie leży", ostatnio ja kgo próbowałem zainstalować na vpsie to też potem były problemy, tam akurat działał, ale blokował też mnie. 

NanoPi systemd[1]: Failed to start Fail2Ban Service.
NanoPi systemd[1]: fail2ban.service: Unit entered failed state.
NanoPi systemd[1]: fail2ban.service: Failed with result 'exit-code'.
NanoPi systemd[1]: fail2ban.service: Service hold-off time over, scheduling restart.
NanoPi systemd[1]: Stopped Fail2Ban Service.
NanoPi systemd[1]: fail2ban.service: Start request repeated too quickly.
NanoPi systemd[1]: Failed to start Fail2Ban Service.
NanoPi systemd[1]: fail2ban.service: Unit entered failed state.
NanoPi systemd[1]: fail2ban.service: Failed with result 'start-limit-hit'.

 

komentarz 19 kwietnia 2020 przez adrian17 Ekspert (344,100 p.)

były problemy, tam akurat działał, ale blokował też mnie. 

Komunikat z Twoich logów wygląda, jakby fail2ban w ogóle się nie włączył.

komentarz 19 kwietnia 2020 przez kubekszklany Gaduła (3,170 p.)
edycja 19 kwietnia 2020 przez kubekszklany
No bo się nie włączył, pisałem o vpsie dawno temu, na raspberry nie działa w ogóle.

Dobra, zdaje się że zaczął działać po wpisaniu "touch /var/log/auth.log".
komentarz 19 kwietnia 2020 przez kubekszklany Gaduła (3,170 p.)
edycja 20 kwietnia 2020 przez kubekszklany

Próbowałem użyć vpna i źle wpisać hasło, mogłem to zrobić nawet 15 razy i dalej nie było bana, logi fail2ban puste. Nigdy tego nie używałem bo zawsze miałem z tym problem żeby działało poprawnie.

Proszę o pomoc jak ktoś wie o co chodzi: https://forum.pasja-informatyki.pl/483339/fail2ban-nie-dziala-lub-dziala-ale-nie-blokuje

Podobne pytania

0 głosów
1 odpowiedź 220 wizyt
pytanie zadane 6 maja 2021 w Bezpieczeństwo, hacking przez MrMoon Użytkownik (960 p.)
0 głosów
1 odpowiedź 137 wizyt
pytanie zadane 25 maja 2020 w Sieci komputerowe, internet przez Majster6918 Gaduła (4,030 p.)
0 głosów
1 odpowiedź 712 wizyt

92,452 zapytań

141,261 odpowiedzi

319,074 komentarzy

61,854 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj.

Akademia Sekuraka

Akademia Sekuraka 2024 zapewnia dostęp do minimum 15 szkoleń online z bezpieczeństwa IT oraz dostęp także do materiałów z edycji Sekurak Academy z roku 2023!

Przy zakupie możecie skorzystać z kodu: pasja-akademia - użyjcie go w koszyku, a uzyskacie rabat -30% na bilety w wersji "Standard"! Więcej informacji na temat akademii 2024 znajdziecie tutaj. Dziękujemy ekipie Sekuraka za taką fajną zniżkę dla wszystkich Pasjonatów!

Akademia Sekuraka

Niedawno wystartował dodruk tej świetnej, rozchwytywanej książki (około 940 stron). Mamy dla Was kod: pasja (wpiszcie go w koszyku), dzięki któremu otrzymujemy 10% zniżki - dziękujemy zaprzyjaźnionej ekipie Sekuraka za taki bonus dla Pasjonatów! Książka to pierwszy tom z serii o ITsec, który łagodnie wprowadzi w świat bezpieczeństwa IT każdą osobę - warto, polecamy!

...