Скрипт-кидди сканируют SSH на нестандартных портах

19.02.2013 | 11:02
Любой владелец сервера с работающим sshd-демоном знаком с бесконечными попытками неудачной аутентификации со стороны многочисленных ботов. Это совершенно не угрожает безопасности, особенно если вы используете аутентификацию по ключу, но подобные запросы от скрипт-кидди засоряют логи и очень надоедают.

Каждый решает проблему в меру своих возможностей. Кто-то просто игнорирует запросы от ботов как неизбежный сетевой шум, а кто-то использует программы для блокировки IP-адресов после нескольких попыток неудачной аутентификации. Для этого можно порекомендовать fail2ban.

Ещё одним популярным трюком было перенести sshd-демон со стандартного порта 22 на какой-нибудь порт в верхней части 65536-диапазона в надежде хотя бы так избавиться от «мусора». К сожалению, этот метод перестал работать.

Специалисты по безопасности сообщают о случаях беспорядочного сканирования портов во всём диапазоне. Они говорят, что это вполне естественное развитие событий, а странно скорее то, что о таких случаях не сообщалось ранее. Вероятно, раньше такого не было, потому что не очень многие веб-мастера переносили SSH на нестандартные порты, а большинство из них не уделяло внимания логам. Но теперь «халява» закончилась, и поиск SSH с общеупотребительными паролями идёт на всех портах.

Логи выглядят примерно так:

Feb 10 17:16:33 net5501 sshd[23679]: Invalid user alex from 66.133.188.86
Feb 10 17:18:32 net5501 sshd[20330]: Invalid user cactiuser from 66.133.188.86
Feb 10 17:20:31 net5501 sshd[19432]: Invalid user www-data from 66.133.188.86
Feb 10 17:24:28 net5501 sshd[29455]: Invalid user user from 66.133.188.86
Feb 10 17:26:27 net5501 sshd[82]: Invalid user tomcat from 66.133.188.86
Feb 10 17:28:26 net5501 sshd[31011]: Invalid user test from 66.133.188.86
Feb 10 17:30:25 net5501 sshd[20057]: Invalid user temp from 66.133.188.86
Feb 10 17:32:23 net5501 sshd[19848]: Invalid user service from 66.133.188.86
Feb 10 17:34:22 net5501 sshd[31209]: Invalid user samba from 66.133.188.86
Feb 10 17:38:20 net5501 sshd[12045]: Invalid user postgres from 66.133.188.86
Feb 10 17:40:20 net5501 sshd[1085]: Invalid user oracle from 66.133.188.86
Feb 10 17:42:19 net5501 sshd[12896]: Invalid user nagios from 66.133.188.86
Feb 10 17:44:19 net5501 sshd[10681]: Invalid user mysql from 66.133.188.86
Feb 10 17:46:19 net5501 sshd[27897]: Invalid user guest from 66.133.188.86
Feb 10 17:48:19 net5501 sshd[13400]: Invalid user tom from 66.133.188.86
Feb 10 17:50:18 net5501 sshd[5132]: Invalid user ftp from 66.133.188.86
Feb 10 17:54:15 net5501 sshd[28789]: Invalid user jboss from 66.133.188.86
Feb 10 17:56:14 net5501 sshd[20435]: Invalid user backup from 66.133.188.86
аутентификация, SSH
По материалам xakep.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код