طيب يا اخى هل فحصت اللوجز ؟ وهل الايبهات الموجوده فى اللوجز الخاصه بل SSH هى ايبهات خارج ال ACL التى قمت بوضعها ؟
يوجد لدي مشكلة متمثلة في قيام البعض بهجمات brute force موجهة ضد خدمة ssh
الان السرفر المعرض للجهوم يقع خلف راوتر. الراوتر عليه ACL تمنع أي اتصال على أي منفذ من قبل أي IP غير ال IP المصرح فيه. وال IP المصرح له بالاتصال يسمح له بالاتصال على منافذ محدودة.
السرفر نفسه عليه fail2ban يقوم بإنشاء قاعدة iptable لأي IP يفشل في إدخال كلمة المرور الخاصة بالمستخدمة مرتان متتاليتان.
في الفترة الاخيرة بدأت الاحظ هجمات ال brute force على السرفر رغم ACL فحصت ال ACL من خلال محاولة الدخول من IP غير موجود في ACL ولم استطع. أي محاولة لاكتشاف وجود السرفر من خلال عمليات المسح وحتى ping تفشل. ومع ذلك استطاع البعض تجاوز ACL وعمل brute force على ssh.
محاولة عمل spoofing لل IP استبعدها تماماً كون ال ACL يرفض أي اتصال من خلال IP داخلي من خلال منفذ الراوتر الخارجي.
فهل لديكم تفسير لذلك؟
ما الذي يمكن أن يكون السبب في تمكن المهاجمين من عمل هذا الهجوم؟
طبعاً الهجوم فشل في تحقيق أي نجاح ولكن ارغب في معرفة كيف تم الوصول للسرفر من الأساس.
وجزاكم الله خيراً
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
طيب يا اخى هل فحصت اللوجز ؟ وهل الايبهات الموجوده فى اللوجز الخاصه بل SSH هى ايبهات خارج ال ACL التى قمت بوضعها ؟
Knowledge is belong to human
صحيح الاي بيهات كلها خارج ال ACL . ال ACL تسمح فقط لايبهان اثنين بالاتصال ب ssh في حين تسمح لاي اي بي بالاتصال ب http
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
طيب من فضلك ممكن تعرض ال rule هنا حتى نتمكن من عمل investigation لها واذا امكن عرض ال log هنا .
وهل هناك deny all rule بعد ال rule التى تسمح للاثنين IP فقط ؟
Knowledge is belong to human
جزاك الله خيراً أخي...
اللوغز هي كالاتي (عينة فقط)
Oct 19 21:14:52 baheth sshd[32435]: Invalid user test from 192.168.1.72
Oct 19 21:14:52 baheth sshd[32435]: pam_unix(sshd:auth): check pass; user unknown
Oct 19 21:14:52 baheth sshd[32435]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.72
Oct 19 21:14:53 baheth sshd[32435]: Failed password for invalid user test from 192.168.1.72 port 51266 ssh2
Oct 19 21:14:54 baheth sshd[32435]: pam_unix(sshd:auth): check pass; user unknown
Oct 19 21:14:55 baheth sshd[32435]: Failed password for invalid user test from 192.168.1.72 port 51266 ssh2
Oct 19 21:14:56 baheth sshd[32435]: pam_unix(sshd:auth): check pass; user unknown
Oct 19 21:14:57 baheth sshd[32435]: Failed password for invalid user test from 192.168.1.72 port 51266 ssh2
Oct 19 21:14:58 baheth sshd[32425]: Invalid user test from 192.168.1.72
Oct 19 21:14:58 baheth sshd[32427]: Invalid user test from 192.168.1.72
الاي بي العام تم استبداله بهذا الاي بي الخاص 192.168.1.72
ال rule باختصار هي
ACL تسمح لأي اتصال من أي IP بالاتصال على منفذ HTTP 80
تسمح بالاتصال من اثنان IPs على منفذ SSH 22
تمنع اتصال اي IP على أي منفذ آخر
للاسف ليس لدي صلاحية دخول الان حتى اضعها كما هي.
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
الله يكون في عونك...هذا الأمر حصل مع كثير من ضمنهم أحد الأصدقاء:
مدونته : https://www.binary-zone.com/?p=805
جرب تقوم بتغيير المنفذ التلقائي الخاص بخدمة SSH غلى منفذ آخر من أختيارك
connecting......[root@dark-side /] # egrep -i -v [~(~connected)] /var/log/messages >> /var/log/messages
You cant see me but I can see you :)
قكرة مارشال جميله وهى تغير المنفذ ...
النقطه الاخرى وهى يمكنك ان تنقل ال ACL على السيرفر من خلال ال IPTABLES بدلا من الACL على الراوتر ومن فضلك انقل لنا النتائج .
Knowledge is belong to human
جزاكما الله خيراً كثيراً أخي مارشال وأخي آدم.
موضوع تغيير المنفذ هو احد الطرق التي بحثت فيها ولكن في الوقت الحالي لا أستطيع كون ذلك يتطلب تغييرات كثيرة (في كود البرامج وغيره).
نقل ال ACL الى السرفر أيضاً بحثت فيها ولكن للأسف المشكلة أنها ستتسبب بلا شك في خفض أداء السرفر ولو بشكل قليل وهذا القليل غير مسموح به.
الأجراءات المتبعة على السرفر صارمة للغاية كذلك انا استخدم ما يعرف بالمفاتيح لا يمكن لحاسوب الاتصال بهذا السرفر دون أن يكون مفتاح هذا الحاسوب معرف في قائمة authorized_keys الخاصة بالسرفر.
ولكن ما هو محيّر بشكل كبير -وهذا ما أود جدّاً المساعدة فيه- هو كيف تمكن المهاجمون من إطلاق الهجوم والوصول إلى السرفر. انا حاولت الدخول من خلال عنوان غير معرف في ال ACL ولم استطع حتى مجرد عمل ping. واجد في logs عشرات ال ips التي نجحت في شن هجوم brute force ولكن لم تنجح ولله الحمد في اختراق السرفر.
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
عالعموم في حالة أردت تغيير المنفذ التلقائي:
وغير السطركود:bash-2.05b# vi /etc/ssh/sshd_config
إلى مثلا:كود:Port 22
ثم كتابة:كود:Port 44551
وطبعا لا تنسى تضيف المنفذ للـfirewallكود:bash-2.05b# service sshd reload
ويفضل أن تمنع الآي بيات التي تحاول عمل Brute force عن طريق برامج مثل sshdfilter
أو البرنامج الذي ذركت أنت مسبقا
يوجد قائمه هنا https://www.binary-zone.com/scripts/ssh-ban-list.txt
وطبعا ما يحتاج نوصيك عن عدم أستخدام كلمات السر السهله التي قد تكون موجودة في قوامس برامج الـCracking
أظنك ملم بالأمر ما شاء الله عليك
الــBotnets تطورت كثيرا هذه الأيام يمكنك برمجتها لإطلاق هجوم واسع وكبير وسيبدو الأمر كأنهم جماعات يقومون بالهجوم. الله يرحم أيام الأنترنت كان في الجامعات والكليات فقط....كانت الدنيا بخير :D
connecting......[root@dark-side /] # egrep -i -v [~(~connected)] /var/log/messages >> /var/log/messages
You cant see me but I can see you :)
جزاك الله خيراً كثيراً...أخي لا توصي حريص
يا ريت botnets سهلة زي ما توصف للي زيّنا
[CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]
[CENTER]
[IMG]https://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
[/CENTER]
الموضوع لن يكون صعب على الهاكر ان يتخطى راوتر مثلا سيسكو او غيره ما اقصده ان عمل acl على الراوتر هى ليست منتهى الحمايه .. فباى برنامج تكوين packets يمكنه تخطى الفايروال ...
بالنسبه لنقل ال ACL هو افضل شىء فى وضعك الحالى فالموضوع كله سيكون فى سطرين iptables والموضوع لن ياخذ processing او غيره وستكون بهذا الشكل
كود:iptables -P INPUT DROPعلى اساس ان اول rule تقوم بعمل default policy لل INPUT chain بحيث يقوم بعمل DROP لاى شىء غير الrules المعرفه لديه وال rule الاخرى تقوم بفتح rule للايبهات الخاصه بككود:iptables -A INPUT -s YOUR_SAFE_IPS -d SERVER_IP -p tcp --dport 22 -j ACCEPT
Knowledge is belong to human
كل ما فهمته من الموضوع ان الacl هي فاير وول صح ولا غلط
و Botnets دي اسكربتات للهكر صح ولا دي برضه غلط
المفضلات