النتائج 1 إلى 12 من 12

الموضوع: [سؤال] حول brute force الموجهة لخدمة ssh

  1. #1
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    [سؤال] حول brute force الموجهة لخدمة ssh



    يوجد لدي مشكلة متمثلة في قيام البعض بهجمات brute force موجهة ضد خدمة ssh

    الان السرفر المعرض للجهوم يقع خلف راوتر. الراوتر عليه ACL تمنع أي اتصال على أي منفذ من قبل أي IP غير ال IP المصرح فيه. وال IP المصرح له بالاتصال يسمح له بالاتصال على منافذ محدودة.

    السرفر نفسه عليه fail2ban يقوم بإنشاء قاعدة iptable لأي IP يفشل في إدخال كلمة المرور الخاصة بالمستخدمة مرتان متتاليتان.

    في الفترة الاخيرة بدأت الاحظ هجمات ال brute force على السرفر رغم ACL فحصت ال ACL من خلال محاولة الدخول من IP غير موجود في ACL ولم استطع. أي محاولة لاكتشاف وجود السرفر من خلال عمليات المسح وحتى ping تفشل. ومع ذلك استطاع البعض تجاوز ACL وعمل brute force على ssh.

    محاولة عمل spoofing لل IP استبعدها تماماً كون ال ACL يرفض أي اتصال من خلال IP داخلي من خلال منفذ الراوتر الخارجي.

    فهل لديكم تفسير لذلك؟
    ما الذي يمكن أن يكون السبب في تمكن المهاجمين من عمل هذا الهجوم؟

    طبعاً الهجوم فشل في تحقيق أي نجاح ولكن ارغب في معرفة كيف تم الوصول للسرفر من الأساس.

    وجزاكم الله خيراً
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  2. #2
    عضو فضي الصورة الرمزية adam black ice
    تاريخ التسجيل
    Mar 2006
    المشاركات
    2,072
    معدل تقييم المستوى
    14

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    طيب يا اخى هل فحصت اللوجز ؟ وهل الايبهات الموجوده فى اللوجز الخاصه بل SSH هى ايبهات خارج ال ACL التى قمت بوضعها ؟

    Knowledge is belong to human

  3. #3
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    صحيح الاي بيهات كلها خارج ال ACL . ال ACL تسمح فقط لايبهان اثنين بالاتصال ب ssh في حين تسمح لاي اي بي بالاتصال ب http
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  4. #4
    عضو فضي الصورة الرمزية adam black ice
    تاريخ التسجيل
    Mar 2006
    المشاركات
    2,072
    معدل تقييم المستوى
    14

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    طيب من فضلك ممكن تعرض ال rule هنا حتى نتمكن من عمل investigation لها واذا امكن عرض ال log هنا .

    وهل هناك deny all rule بعد ال rule التى تسمح للاثنين IP فقط ؟

    Knowledge is belong to human

  5. #5
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    جزاك الله خيراً أخي...

    اللوغز هي كالاتي (عينة فقط)

    Oct 19 21:14:52 baheth sshd[32435]: Invalid user test from 192.168.1.72
    Oct 19 21:14:52 baheth sshd[32435]: pam_unix(sshd:auth): check pass; user unknown
    Oct 19 21:14:52 baheth sshd[32435]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.72
    Oct 19 21:14:53 baheth sshd[32435]: Failed password for invalid user test from 192.168.1.72 port 51266 ssh2
    Oct 19 21:14:54 baheth sshd[32435]: pam_unix(sshd:auth): check pass; user unknown
    Oct 19 21:14:55 baheth sshd[32435]: Failed password for invalid user test from 192.168.1.72 port 51266 ssh2
    Oct 19 21:14:56 baheth sshd[32435]: pam_unix(sshd:auth): check pass; user unknown
    Oct 19 21:14:57 baheth sshd[32435]: Failed password for invalid user test from 192.168.1.72 port 51266 ssh2
    Oct 19 21:14:58 baheth sshd[32425]: Invalid user test from 192.168.1.72
    Oct 19 21:14:58 baheth sshd[32427]: Invalid user test from 192.168.1.72

    الاي بي العام تم استبداله بهذا الاي بي الخاص 192.168.1.72

    ال rule باختصار هي

    ACL تسمح لأي اتصال من أي IP بالاتصال على منفذ HTTP 80
    تسمح بالاتصال من اثنان IPs على منفذ SSH 22
    تمنع اتصال اي IP على أي منفذ آخر

    للاسف ليس لدي صلاحية دخول الان حتى اضعها كما هي.
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  6. #6
    عضو الصورة الرمزية UNIXY
    تاريخ التسجيل
    Jan 2007
    المشاركات
    292
    معدل تقييم المستوى
    0

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    الله يكون في عونك...هذا الأمر حصل مع كثير من ضمنهم أحد الأصدقاء:

    مدونته : http://www.binary-zone.com/?p=805

    جرب تقوم بتغيير المنفذ التلقائي الخاص بخدمة SSH غلى منفذ آخر من أختيارك



    connecting......[root@dark-side /] # egrep -i -v [~(~connected)] /var/log/messages >> /var/log/messages

    You cant see me but I can see you :)

  7. #7
    عضو فضي الصورة الرمزية adam black ice
    تاريخ التسجيل
    Mar 2006
    المشاركات
    2,072
    معدل تقييم المستوى
    14

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    قكرة مارشال جميله وهى تغير المنفذ ...

    النقطه الاخرى وهى يمكنك ان تنقل ال ACL على السيرفر من خلال ال IPTABLES بدلا من الACL على الراوتر ومن فضلك انقل لنا النتائج .

    Knowledge is belong to human

  8. #8
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    جزاكما الله خيراً كثيراً أخي مارشال وأخي آدم.

    موضوع تغيير المنفذ هو احد الطرق التي بحثت فيها ولكن في الوقت الحالي لا أستطيع كون ذلك يتطلب تغييرات كثيرة (في كود البرامج وغيره).

    نقل ال ACL الى السرفر أيضاً بحثت فيها ولكن للأسف المشكلة أنها ستتسبب بلا شك في خفض أداء السرفر ولو بشكل قليل وهذا القليل غير مسموح به.

    الأجراءات المتبعة على السرفر صارمة للغاية كذلك انا استخدم ما يعرف بالمفاتيح لا يمكن لحاسوب الاتصال بهذا السرفر دون أن يكون مفتاح هذا الحاسوب معرف في قائمة authorized_keys الخاصة بالسرفر.

    ولكن ما هو محيّر بشكل كبير -وهذا ما أود جدّاً المساعدة فيه- هو كيف تمكن المهاجمون من إطلاق الهجوم والوصول إلى السرفر. انا حاولت الدخول من خلال عنوان غير معرف في ال ACL ولم استطع حتى مجرد عمل ping. واجد في logs عشرات ال ips التي نجحت في شن هجوم brute force ولكن لم تنجح ولله الحمد في اختراق السرفر.
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  9. #9
    عضو الصورة الرمزية UNIXY
    تاريخ التسجيل
    Jan 2007
    المشاركات
    292
    معدل تقييم المستوى
    0

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    عالعموم في حالة أردت تغيير المنفذ التلقائي:

    كود:
    bash-2.05b# vi /etc/ssh/sshd_config
    وغير السطر

    كود:
    Port 22
    إلى مثلا:
    كود:
    Port 44551
    ثم كتابة:
    كود:
    bash-2.05b# service sshd reload
    وطبعا لا تنسى تضيف المنفذ للـfirewall
    ويفضل أن تمنع الآي بيات التي تحاول عمل Brute force عن طريق برامج مثل sshdfilter
    أو البرنامج الذي ذركت أنت مسبقا
    يوجد قائمه هنا http://www.binary-zone.com/scripts/ssh-ban-list.txt

    وطبعا ما يحتاج نوصيك عن عدم أستخدام كلمات السر السهله التي قد تكون موجودة في قوامس برامج الـCracking

    أظنك ملم بالأمر ما شاء الله عليك
    اقتباس المشاركة الأصلية كتبت بواسطة باحث عن المعرفة مشاهدة المشاركة
    ولكن ما هو محيّر بشكل كبير -وهذا ما أود جدّاً المساعدة فيه- هو كيف تمكن المهاجمون من إطلاق الهجوم والوصول إلى السرفر. انا حاولت الدخول من خلال عنوان غير معرف في ال ACL ولم استطع حتى مجرد عمل ping. واجد في logs عشرات ال ips التي نجحت في شن هجوم brute force ولكن لم تنجح ولله الحمد في اختراق السرفر.
    الــBotnets تطورت كثيرا هذه الأيام يمكنك برمجتها لإطلاق هجوم واسع وكبير وسيبدو الأمر كأنهم جماعات يقومون بالهجوم. الله يرحم أيام الأنترنت كان في الجامعات والكليات فقط....كانت الدنيا بخير :D



    connecting......[root@dark-side /] # egrep -i -v [~(~connected)] /var/log/messages >> /var/log/messages

    You cant see me but I can see you :)

  10. #10
    عضو برونزي الصورة الرمزية باحث عن المعرفة
    تاريخ التسجيل
    Aug 2007
    المشاركات
    1,629
    معدل تقييم المستوى
    18

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    جزاك الله خيراً كثيراً...أخي لا توصي حريص

    يا ريت botnets سهلة زي ما توصف للي زيّنا
    [CENTER][SIZE="5"][COLOR="Red"]كلّنا ليبيّون[/COLOR][/SIZE][/CENTER]

    [CENTER]
    [IMG]http://www.arabhardware.net/forum/picture.php?albumid=282&pictureid=1037[/IMG]
    [/CENTER]

  11. #11
    عضو فضي الصورة الرمزية adam black ice
    تاريخ التسجيل
    Mar 2006
    المشاركات
    2,072
    معدل تقييم المستوى
    14

    رد: [سؤال] حول brute force الموجهة لخدمة ssh

    الموضوع لن يكون صعب على الهاكر ان يتخطى راوتر مثلا سيسكو او غيره ما اقصده ان عمل acl على الراوتر هى ليست منتهى الحمايه .. فباى برنامج تكوين packets يمكنه تخطى الفايروال ...

    بالنسبه لنقل ال ACL هو افضل شىء فى وضعك الحالى فالموضوع كله سيكون فى سطرين iptables والموضوع لن ياخذ processing او غيره وستكون بهذا الشكل

    كود:
     iptables  -P INPUT DROP
    كود:
     iptables -A INPUT -s YOUR_SAFE_IPS -d SERVER_IP -p tcp --dport 22 -j ACCEPT
    على اساس ان اول rule تقوم بعمل default policy لل INPUT chain بحيث يقوم بعمل DROP لاى شىء غير الrules المعرفه لديه وال rule الاخرى تقوم بفتح rule للايبهات الخاصه بك

    Knowledge is belong to human

  12. #12
    عضو الصورة الرمزية clerck
    تاريخ التسجيل
    Jul 2007
    المشاركات
    644
    معدل تقييم المستوى
    0

    رد: [سؤال] حول brute force الموجهة لخدمة ssh



    كل ما فهمته من الموضوع ان الacl هي فاير وول صح ولا غلط
    و Botnets دي اسكربتات للهكر صح ولا دي برضه غلط

المواضيع المتشابهه

  1. مشاركات: 4
    آخر مشاركة: 08-02-2012, 13:11
  2. رد وائل غنيم على بعض الإتهامات والشبهات الموجهة له
    بواسطة ŤǾЯŊΛĐф في المنتدى الأرشيف
    مشاركات: 10
    آخر مشاركة: 14-02-2011, 05:32
  3. AMD تعلن عن كروت فئة 4000 الموجهة للمحمول !
    بواسطة The_Wolf88 في المنتدى الأرشيف
    مشاركات: 1
    آخر مشاركة: 09-01-2009, 11:35
  4. لمالكي اللوحة MSI K9NGM الموجهة لمعالجات AMD AM2
    بواسطة GoldenLionTech في المنتدى الأرشيف
    مشاركات: 4
    آخر مشاركة: 31-10-2007, 08:40
  5. سؤال بخصوص كروت Ge Force Go
    بواسطة luinx في المنتدى الأرشيف
    مشاركات: 1
    آخر مشاركة: 21-02-2007, 23:38

الكلمات الدلالية لهذا الموضوع

المفضلات

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •