[سؤال] حول brute force الموجهة لخدمة ssh

[باحث عن المعرفة]

يوجد لدي مشكلة متمثلة في قيام البعض بهجمات brute force موجهة ضد خدمة ssh

الان السرفر المعرض للجهوم يقع خلف راوتر. الراوتر عليه ACL تمنع أي اتصال على أي منفذ من قبل أي IP غير ال IP المصرح فيه. وال IP المصرح له بالاتصال يسمح له بالاتصال على منافذ محدودة.

السرفر نفسه عليه fail2ban يقوم بإنشاء قاعدة iptable لأي IP يفشل في إدخال كلمة المرور الخاصة بالمستخدمة مرتان متتاليتان.

في الفترة الاخيرة بدأت الاحظ هجمات ال brute force على السرفر رغم ACL فحصت ال ACL من خلال محاولة الدخول من IP غير موجود في ACL ولم استطع. أي محاولة لاكتشاف وجود السرفر من خلال عمليات المسح وحتى ping تفشل. ومع ذلك استطاع البعض تجاوز ACL وعمل brute force على ssh.

محاولة عمل spoofing لل IP استبعدها تماماً كون ال ACL يرفض أي اتصال من خلال IP داخلي من خلال منفذ الراوتر الخارجي.

فهل لديكم تفسير لذلك؟
ما الذي يمكن أن يكون السبب في تمكن المهاجمين من عمل هذا الهجوم؟

طبعاً الهجوم فشل في تحقيق أي نجاح ولكن ارغب في معرفة كيف تم الوصول للسرفر من الأساس.

وجزاكم الله خيراً

[adam black ice]

طيب يا اخى هل فحصت اللوجز ؟ وهل الايبهات الموجوده فى اللوجز الخاصه بل SSH هى ايبهات خارج ال ACL التى قمت بوضعها ؟

[باحث عن المعرفة]

صحيح الاي بيهات كلها خارج ال ACL . ال ACL تسمح فقط لايبهان اثنين بالاتصال ب ssh في حين تسمح لاي اي بي بالاتصال ب http

[adam black ice]

طيب من فضلك ممكن تعرض ال rule هنا حتى نتمكن من عمل investigation لها واذا امكن عرض ال log هنا .

وهل هناك deny all rule بعد ال rule التى تسمح للاثنين IP فقط ؟

[باحث عن المعرفة]

جزاك الله خيراً أخي...

اللوغز هي كالاتي (عينة فقط)

Oct 19 21:14:52 baheth sshd[32435]: Invalid user test from 192.168.1.72
Oct 19 21:14:52 baheth sshd[32435]: pam_unix(sshd:auth): check pass; user unknown
Oct 19 21:14:52 baheth sshd[32435]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.72
Oct 19 21:14:53 baheth sshd[32435]: Failed password for invalid user test from 192.168.1.72 port 51266 ssh2
Oct 19 21:14:54 baheth sshd[32435]: pam_unix(sshd:auth): check pass; user unknown
Oct 19 21:14:55 baheth sshd[32435]: Failed password for invalid user test from 192.168.1.72 port 51266 ssh2
Oct 19 21:14:56 baheth sshd[32435]: pam_unix(sshd:auth): check pass; user unknown
Oct 19 21:14:57 baheth sshd[32435]: Failed password for invalid user test from 192.168.1.72 port 51266 ssh2
Oct 19 21:14:58 baheth sshd[32425]: Invalid user test from 192.168.1.72
Oct 19 21:14:58 baheth sshd[32427]: Invalid user test from 192.168.1.72

الاي بي العام تم استبداله بهذا الاي بي الخاص 192.168.1.72

ال rule باختصار هي

ACL تسمح لأي اتصال من أي IP بالاتصال على منفذ HTTP 80
تسمح بالاتصال من اثنان IPs على منفذ SSH 22
تمنع اتصال اي IP على أي منفذ آخر

للاسف ليس لدي صلاحية دخول الان حتى اضعها كما هي.

[UNIXY]

الله يكون في عونك...هذا الأمر حصل مع كثير من ضمنهم أحد الأصدقاء:

مدونته : https://www.binary-zone.com/?p=805

جرب تقوم بتغيير المنفذ التلقائي الخاص بخدمة SSH غلى منفذ آخر من أختيارك

[adam black ice]

قكرة مارشال جميله وهى تغير المنفذ ...

النقطه الاخرى وهى يمكنك ان تنقل ال ACL على السيرفر من خلال ال IPTABLES بدلا من الACL على الراوتر ومن فضلك انقل لنا النتائج .

[باحث عن المعرفة]

جزاكما الله خيراً كثيراً أخي مارشال وأخي آدم.

موضوع تغيير المنفذ هو احد الطرق التي بحثت فيها ولكن في الوقت الحالي لا أستطيع كون ذلك يتطلب تغييرات كثيرة (في كود البرامج وغيره).

نقل ال ACL الى السرفر أيضاً بحثت فيها ولكن للأسف المشكلة أنها ستتسبب بلا شك في خفض أداء السرفر ولو بشكل قليل وهذا القليل غير مسموح به.

الأجراءات المتبعة على السرفر صارمة للغاية كذلك انا استخدم ما يعرف بالمفاتيح لا يمكن لحاسوب الاتصال بهذا السرفر دون أن يكون مفتاح هذا الحاسوب معرف في قائمة authorized_keys الخاصة بالسرفر.

ولكن ما هو محيّر بشكل كبير -وهذا ما أود جدّاً المساعدة فيه- هو كيف تمكن المهاجمون من إطلاق الهجوم والوصول إلى السرفر. انا حاولت الدخول من خلال عنوان غير معرف في ال ACL ولم استطع حتى مجرد عمل ping. واجد في logs عشرات ال ips التي نجحت في شن هجوم brute force ولكن لم تنجح ولله الحمد في اختراق السرفر.

[UNIXY]

عالعموم في حالة أردت تغيير المنفذ التلقائي:

كود:

bash-2.05b# vi /etc/ssh/sshd_config

وغير السطر

كود:

Port 22

إلى مثلا:

كود:

Port 44551

ثم كتابة:

كود:

bash-2.05b# service sshd reload

وطبعا لا تنسى تضيف المنفذ للـfirewall
ويفضل أن تمنع الآي بيات التي تحاول عمل Brute force عن طريق برامج مثل sshdfilter
أو البرنامج الذي ذركت أنت مسبقا
يوجد قائمه هنا https://www.binary-zone.com/scripts/ssh-ban-list.txt

وطبعا ما يحتاج نوصيك عن عدم أستخدام كلمات السر السهله التي قد تكون موجودة في قوامس برامج الـCracking

أظنك ملم بالأمر ما شاء الله عليك

ولكن ما هو محيّر بشكل كبير -وهذا ما أود جدّاً المساعدة فيه- هو كيف تمكن المهاجمون من إطلاق الهجوم والوصول إلى السرفر. انا حاولت الدخول من خلال عنوان غير معرف في ال ACL ولم استطع حتى مجرد عمل ping. واجد في logs عشرات ال ips التي نجحت في شن هجوم brute force ولكن لم تنجح ولله الحمد في اختراق السرفر.

الــBotnets تطورت كثيرا هذه الأيام يمكنك برمجتها لإطلاق هجوم واسع وكبير وسيبدو الأمر كأنهم جماعات يقومون بالهجوم. الله يرحم أيام الأنترنت كان في الجامعات والكليات فقط....كانت الدنيا بخير :D

[باحث عن المعرفة]

جزاك الله خيراً كثيراً...أخي لا توصي حريص

يا ريت botnets سهلة زي ما توصف للي زيّنا

[adam black ice]

الموضوع لن يكون صعب على الهاكر ان يتخطى راوتر مثلا سيسكو او غيره ما اقصده ان عمل acl على الراوتر هى ليست منتهى الحمايه .. فباى برنامج تكوين packets يمكنه تخطى الفايروال ...

بالنسبه لنقل ال ACL هو افضل شىء فى وضعك الحالى فالموضوع كله سيكون فى سطرين iptables والموضوع لن ياخذ processing او غيره وستكون بهذا الشكل

كود:

 iptables  -P INPUT DROP

كود:

 iptables -A INPUT -s YOUR_SAFE_IPS -d SERVER_IP -p tcp --dport 22 -j ACCEPT

على اساس ان اول rule تقوم بعمل default policy لل INPUT chain بحيث يقوم بعمل DROP لاى شىء غير الrules المعرفه لديه وال rule الاخرى تقوم بفتح rule للايبهات الخاصه بك

[clerck]

كل ما فهمته من الموضوع ان الacl هي فاير وول صح ولا غلط
و Botnets دي اسكربتات للهكر صح ولا دي برضه غلط