BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 15 ] 
Автор Сообщение
 Заголовок сообщения: sshd отваливается после атаки
СообщениеДобавлено: Пн 03 ноя, 2014 10:35 pm 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 25
Наблюдаю такую ситуацию практически на всех серверах: после неудавшихся попыток захода root-ом (который отключен по умолчанию) - в основном с китайских серверов, остаются висеть много sshd процессов:
Код:
69351 root      122   0 86088  6748     0 S  0.0  0.0  0:00.01 sshd: robert [priv]
68777 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68776 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68775 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68768 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68767 root      120   0 80760  6708     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68766 root      120   0 78704  6700     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68760 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68759 root      121   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68758 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68757 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68752 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68751 root      120   0 76620  6652     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68750 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68749 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68748 root      120   0 84872  6736     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68746 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68745 root      120   0 82812  6720     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68743 root      120   0 76620  6652     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68728 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68727 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68724 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68716 root      120   0 74560  6636     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68715 root      120   0 74560  6636     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68712 root      120   0 78704  6700     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68710 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68709 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68706 root      120   0 80760  6708     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68705 root      120   0 80760  6708     0 S  0.0  0.0  0:00.00 sshd: root [priv]
68700 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68699 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]
68695 root      120   0 84872  6740     0 S  0.0  0.0  0:00.00 sshd: root [pam]


Код:
tcp4       0      0 69.64.43.205.22        61.174.49.109.46446    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.46445    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.46444    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40462    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40460    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40461    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40459    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40303    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.40122    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35478    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35477    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35476    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35002    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.35001    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57025    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57026    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57007    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57012    CLOSE_WAIT
tcp4       0      0 69.64.43.205.22        61.174.49.109.57008    CLOSE_WAIT


которые мешают заходить нормальным юзерам, приходиться их убивать руками. Какие есть варианты это обойти, кроме использования ipfw ?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 12:03 am 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 579
Гуглояндекс говорит мне, что PAM c sshd использовать уже не модно.
Еще говорит, что в портах есть что-то вроде sshit, sshguard, ... (правда, они таки завязаны на файрвол).
Или можно использовать что-то вроде knockd (опять без файрволов не получится).
Если не любы подобные прилады, но отвращение к файрволу преодолимо, то что-нить вроде `ipfw add allow tcp from any to me dst-port ssh setup limit src-addr 3` достаточно действенно.
Но если вдруг аллергия на файрволы всерьёз и надолго, то можно повесить sshd на другой порт.

Если гуглояндексы не хотят с Вами общаться, спрашивайте, не стесняйтесь.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 3:47 am 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 25
Не знаю насчет моды, но по умолчанию даже на 10-ке именно PAM (что говорит о том, что на 99% FreeBSD серверов мира оставлено это умолчание).
Фаервол использовать не могу по причине высоконагруженности.
sshd на другой порт - как вариант.
Сама ситуация с бесконечно висящим CLOSE_WAIT - баг sshd, он должен закрыть соединение, но не делает этого.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 4:54 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3241
Откуда: Харьков
какая версия фри?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 4:56 am 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 25
10.0-RELEASE-p4


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 5:22 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3241
Откуда: Харьков
смена порта помогает на время, пока боты не найдут новый порт

возможно поможет sysctl net.inet.tcp.msl=5000 -- ...5000=10сек вроде
по умолчанию net.inet.tcp.msl: 30000 -- а это минута


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Вт 04 ноя, 2014 1:03 pm 
Не в сети

Зарегистрирован: Пт 03 сен, 2004 1:26 pm
Сообщения: 2178
grayich писал(а):
смена порта помогает на время, пока боты не найдут новый порт

возможно поможет sysctl net.inet.tcp.msl=5000 -- ...5000=10сек вроде
по умолчанию net.inet.tcp.msl: 30000 -- а это минута


и тем не менее смена порта хорошо помогает, но для порядку и привычки, лучше на всех
серверах сменить порт ssh на единый высокий.

в дополнение к сказанному, можно воспользоваться некоторыми настройками sshd_config:

LoginGraceTime - default 2min (120 seconds)
MaxAuthTries (default 6)
MaxStartups (можно поиграть, но опасно)
AllowUsers + Match

Уменьшить LoginGraceTime, MaxAuthTries и использовать AllowUsers + Match - на всех серверах где
практически нет интерактивных пользователей, при этом желаетельно иметь бастион с ssh на который
можно зайти откуда угодно.

ps. Ну и отправить письмо по форме на держателя блока по whois, никто не отменял.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Чт 06 ноя, 2014 7:39 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Ср 23 июн, 2010 1:01 pm
Сообщения: 495
Рекомендую использовать скрипт, отслеживающий активность соединений через sockstat (netstat), а также попытки брутфорса по логам.

_________________
Самурай без меча подобен самураю с мечом, но только без меча, однако как-будто с мечом, которого у него нет, но и без него он как с ним...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Чт 06 ноя, 2014 8:01 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3241
Откуда: Харьков
RemiZOffAlex, а толку, фаервола то нет, чем блочить.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Чт 06 ноя, 2014 9:20 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 579
Уж не знаю, чем у ТС так нагружен сервер, но сомневаюсь, что мониторинг логов и обработка ipfw одной таблицы займут хотя бы 0.01% процового времени. Но хозяин - барин.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Пт 07 ноя, 2014 7:03 am 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 25
Одни и те же sshd процессы висят по несколько дней, вряд ли с таймаутами стоит играть, любое умолчание должно быть меньше, тут чето не то с sshd самим.
ipfw оч. сильно тормозит все даже при 1к запросов\сек, а у меня их на порядок больше.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Пт 07 ноя, 2014 11:24 am 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3241
Откуда: Харьков
robert1307 писал(а):
тут чето не то с sshd самим.
там кстати патчей разных вышло в последнее время, возможно стоит перейти на 10-stable
robert1307 писал(а):
ipfw оч. сильно тормозит все даже при 1к запросов\сек
а вот это странно, 1000 не должно тормозить даже на P3железяках


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Чт 13 ноя, 2014 10:24 pm 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 25
Накатил все последние апдейты (freebsd-update) за последние две недели (sshd поменялся), теперь после атак процессы перестали висеть в CLOSE_WAIT, вопрос закрыт, всем спасибо.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Пт 14 ноя, 2014 3:18 am 
Не в сети

Зарегистрирован: Вс 05 июн, 2005 4:19 pm
Сообщения: 3072
Откуда: Ukraine
чаще нужно следить за https://www.freebsd.org/security/advisories.html ;)
не оно случаем? https://www.freebsd.org/security/adviso ... 4.sshd.asc ;)

_________________
Ми можемо все - що здатні собі уявити!
uname -a
Linux nonamehost 4.10.2-zen-fidaj-muqss-ck+ #4 ZEN SMP PREEMPT Sun Mar 12 19:48:08 EET 2017 x86_64 x86_64 x86_64 GNU/Linux


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: sshd отваливается после атаки
СообщениеДобавлено: Пн 17 ноя, 2014 10:44 am 
Не в сети

Зарегистрирован: Пт 06 июн, 2014 6:15 am
Сообщения: 25
похоже что оно. ) Тема, кстати, создана за день до появления патча...)


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 15 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика