ssh brute force attacks
> через какую же дыру червь ходит
через успешные
через успешные
попытки подобрать пароль по ssh к юзерам root, mysql, backup
Хмм... Но этих хостов достаточно много. И пароль они подбирают буквально 3 - 4 попытки.
я как-то ради эксперимента открыл одну машину с виндой полностью в инет. пароль на администраторе был 12345. за одну ночь пароль подобрали, поставили ФТП, поставили софт который занимается тем же самым и оставили мне файл весом 400кил в котором содержались ИП адреса, имя администратора и пароль.
все пароли были типа: "123"-"123456", пустой, admin, administrator.
думаю, что среди пользователей *nix систем чуть меньший, но достаточный процент людей которые ставят такие пароли на рута.
все пароли были типа: "123"-"123456", пустой, admin, administrator.
думаю, что среди пользователей *nix систем чуть меньший, но достаточный процент людей которые ставят такие пароли на рута.
И пароль они подбирают буквально 3 - 4 попытки.э... а как ты это понял, если не секрет?
ко мне на сервер тоже постояянно такие ломятся... особенно смешно смотреть, как они пытаются подобрать пароль для рута. =)
btw что такое
sshd[61018]: error: PAM: Authentication failure?
иногда такие сообщения бывают в секьюрных логах..
> btw что такое sshd[61018]: error: PAM: Authentication failure
Фактически тоже самое. Только не через PasswordAuthentication, а через ChallengeResponseAuthentication (который в предыдущих версиях звался PAMAuthentication).
Фактически тоже самое. Только не через PasswordAuthentication, а через ChallengeResponseAuthentication (который в предыдущих версиях звался PAMAuthentication).
а почему он иногда пишет так, а иногда:
sshd[54053]: Failed password for root from x.x.x.x port 52952 ssh2
?
sshd[54053]: Failed password for root from x.x.x.x port 52952 ssh2
?
а на каких ОС логин рута по ssh разрешен по дефолту?
FreeBSD
Разве? По-моему как раз нет. 
А backup и mysql на каких осях имеют шелы?
> sshd[54053]: Failed password for root from x.x.x.x port 52952 ssh2
Потому, что в данном случае используется PasswordAuthentication.
Потому, что в данном случае используется PasswordAuthentication.
> FreeBSD
Не пиздеть. Все ходы записаны.
http://www.freebsd.org/cgi/cvsweb.cgi/src/crypto/openssh/sshd_config
PermitRootLogin был равен yes только в ревизии 1.1, в vendor importе. После импорта, сразу было изменено на no.
http://www.freebsd.org/cgi/cvsweb.cgi/src/crypto/openssh/sshd_config.diff?r1=1.1&r2=1.2&f=h
Не пиздеть. Все ходы записаны.
http://www.freebsd.org/cgi/cvsweb.cgi/src/crypto/openssh/sshd_config
PermitRootLogin был равен yes только в ревизии 1.1, в vendor importе. После импорта, сразу было изменено на no.
http://www.freebsd.org/cgi/cvsweb.cgi/src/crypto/openssh/sshd_config.diff?r1=1.1&r2=1.2&f=h
я потому и спросил, что на FreeBSD это не так
хочется узнать - а где же это так?
если таких ОС нет, то странно, что люди, уже умеющие настраивать ssh, например разрешать логин рута, делают последнее намерянно (и, видимо, при очевидно слабых паролях)
хочется узнать - а где же это так?
если таких ОС нет, то странно, что люди, уже умеющие настраивать ssh, например разрешать логин рута, делают последнее намерянно (и, видимо, при очевидно слабых паролях)
В европе, может и в других местах тоже, большое распространение имеет Линукс. который ставят себе на компьютеры люди, понимающие в процессах установки ровно столько же сколько те, кто ставит Винду.
не исключено, что для включения ССШ для рута в половине графических "настройщиков линукса" надо просто поставить одну галочку, которую и ставят шоб не парицца... *nix - такая же система для домохозяяк, как и винда, только для бедных домохозяек
не исключено, что для включения ССШ для рута в половине графических "настройщиков линукса" надо просто поставить одну галочку, которую и ставят шоб не парицца... *nix - такая же система для домохозяяк, как и винда, только для бедных домохозяек
Да, обшибся... Во FreeBSD это действительно не так.
Зато точно так в ASPLinux (проверено на себе :-)
Да, и "галочки для запрета логина рута по ssh" я что-то не нашёл...
Зато точно так в ASPLinux (проверено на себе :-)
Да, и "галочки для запрета логина рута по ssh" я что-то не нашёл...
только для бедных домохозяектолько для бедных ебанутых домохозяек
а блин... торможу. спасибо. 
Оставить комментарий
sergey_m
Наверное те, у кого есть реальный IP заметили, что в последние полгода участились попытки подобрать пароль по ssh к юзерам root, mysql, backup. Судя по масштабности этих попыток это червь, вряд ли группе людей подсилу атаковать так много машин из стольки разных мест. Недавно я тупил в компьютер и случайно заметил активный сетевой трафик, в тот момент, когда я его не инициировал. Оказалось, что сейчас на моей машине перебираются пароли (через диалап!). Заинтересовавшись, я посмотрел на ту машину, с которой шел перебор:Похоже софт достаточно свежий, вопрос в том, через какую же дыру червь ходит.