#1
|
|||
|
|||
lazy ssh
Vova Uralsky написал(а) к All в Apr 15 15:38:48 по местному времени:
Нello All! Если брутфорсеры достали и других путей спрятать ssh нет, предлагается сделать ленивый хэндшейк. В случае удачной аутентификации скорость восстанавливается. --- sshd.c 2015-03-17 06:49:20.000000000 +0100 +++ new/sshd.c 2015-04-07 18:15:53.882096316 +0200 @@ -1463,6 +1463,7 @@ int keytype; Authctxt *authctxt; struct connectioninfo *connection_info = get_connectioninfo(0, 0); + extern int uwl_pause; #ifdef НAVE_SECUREWARE (void)setauthparameters(ac, av); @@ -2176,6 +2177,7 @@ / perform the key exchange / / authenticate user and start session / + uwl_pause = 3; if (compat20) { dossh2kex(); do_authentication2(authctxt); @@ -2187,6 +2189,7 @@ fatal("ssh1 not supported"); #endif } + uwl_pause = 0; /* * If we use privilege separation, the unprivileged child transfers * the current keystate and exits --- dispatch.h 2015-03-17 06:49:20.000000000 +0100 +++ new/dispatch.h 2015-04-07 18:15:47.802125663 +0200 @@ -45,6 +45,7 @@ void sshdispatch_range(struct ssh , u_int, u_int, dispatchfn ); int sshdispatch_run(struct ssh , int, volatile sig_atomict *, void ); void sshdispatch_run_fatal(struct ssh , int, volatile sig_atomict *, void ); +int uwl_pause; #define dispatch_init(dflt) \ sshdispatch_init(activestate, (dflt)) --- dispatch.c 2015-03-17 06:49:20.000000000 +0100 +++ new/dispatch.c 2015-04-07 18:15:47.794125857 +0200 @@ -29,6 +29,7 @@ #include <signal.h> #include <stdarg.h> +#include <unistd.h> #include "ssh1.h" #include "ssh2.h" @@ -97,6 +98,8 @@ uint32t seqnr; for (;;) { + debug("uwlpause: [%d]", uwlpause); + sleep(uwl_pause); / slowing down / if (mode == DISPATCН_BLOCK) { r = sshpacket_readseqnr(ssh, &type, &seqnr); if (r != 0) Regards, Vova --- Msged/BSD 6.2.0 |
#2
|
|||
|
|||
Re: lazy ssh
Valentin Davydov написал(а) к Vova Uralsky в Apr 15 18:04:25 по местному времени:
From: Valentin Davydov <sp@m.davydov.spb.su> > From: Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> > Date: Mon, 20 Apr 2015 15:38:48 +0300 > >Если брутфорсеры достали и других путей спрятать ssh нет, предлагается сделать >ленивый хэндшейк. В случае удачной аутентификации скорость восстанавливается. Так оно сейчас и так паузу как раз в этом месте делает. Пока хост резолвит. Вал. Дав. --- ifmail v.2.15dev5.4 |
#3
|
|||
|
|||
Re: lazy ssh
Vova Uralsky написал(а) к Valentin Davydov в Apr 15 17:56:36 по местному времени:
Нello Valentin! 20 Apr 15 18:04, Valentin Davydov wrote to Vova Uralsky: >>Если брутфорсеры достали и других путей спрятать ssh нет, предлагается >>сделать ленивый хэндшейк. В случае удачной аутентификации скорость >>восстанавливается. VD> Так оно сейчас и так паузу как раз в этом месте делает. Пока хост VD> резолвит. :-) тыз нал? В том месте, куда я предлагаю вклиниться делается больше одной паузы. Я пару недель потестировал. Пауза в 3 секунды подобрана эмпирически, начиная с такой ломальщики теряют интерес после нескольких попыток. Regards, Vova --- Msged/BSD 6.2.0 |
#4
|
|||
|
|||
Re: lazy ssh
Alex Korchmar написал(а) к Vova Uralsky в Apr 15 23:37:15 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> wrote: VU> паузы. Я пару недель потестировал. Пауза в 3 секунды подобрана эмпирически, VU> начиная с такой ломальщики теряют интерес после нескольких попыток. вот этому пидорку расскажи, ага: 18 1080 DROP all -- 58.218.201.19 0.0.0.0/0 (это за сегодня, свеженький) или вот, к примеру: 1013 40520 DROP all -- 218.59.238.92 0.0.0.0/0 (но это из другой оперы, тут не ручаюсь что это ssh, хотя скорее всего - он) > Alex --- ifmail v.2.15dev5.4 |
#5
|
|||
|
|||
Re: lazy ssh
Vova Uralsky написал(а) к Alex Korchmar в Apr 15 01:52:58 по местному времени:
Нello Alex! 20 Apr 15 23:37, Alex Korchmar wrote to Vova Uralsky: VU>> паузы. Я пару недель потестировал. Пауза в 3 секунды подобрана VU>> эмпирически, начиная с такой ломальщики теряют интерес после VU>> нескольких попыток. AK> вот этому пидорку расскажи, ага: AK> 18 1080 DROP all -- 58.218.201.19 AK> 0.0.0.0/0 AK> (это за сегодня, свеженький) Ну, ты пропатчи и вывеси такой sshd на 22 порту, по логам сразу видно как несчастные теряют всякий интерес. Только фильтровать вражьи IP ненадо, а то они снова приходят, с соседних, это их только раззадоривает. :-) Как сделаешь, расскажи, как оно получилось. Regards, Vova --- Msged/BSD 6.2.0 |
#6
|
|||
|
|||
Re: lazy ssh
Alex Korchmar написал(а) к Sergey Anohin в Apr 15 14:16:18 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Sergey Anohin <Sergey.Anohin@p1.f10.n5034.z2.fidonet.org> wrote: SA> Чем тебе fail2ban не дpуг? Две попытки и в бан на неделю файpволом, через неделю починишь свой хост, нефиг было в пароле опечатываться. > Alex --- ifmail v.2.15dev5.4 |
#7
|
|||
|
|||
Re: lazy ssh
Vova Uralsky написал(а) к Alex Korchmar в Apr 15 13:13:40 по местному времени:
Нello Alex! 21 Apr 15 08:50, Alex Korchmar wrote to Vova Uralsky: AK>>> вот этому пидорку расскажи, ага: AK>>> 18 1080 DROP all -- 58.218.201.19 VU>> Ну, ты пропатчи и вывеси такой sshd на 22 порту, по логам сразу видно AK> да блин, куда уж больше чем просто drop ? AK> а оно продолжает и продолжает трахать, сегодня там уже сотня. Ага, приходит снова и снова в надежде что выпадет из списка запрщённых? VU>> несчастные теряют всякий интерес. Только фильтровать вражьи IP VU>> ненадо, а то они снова приходят, с соседних, это их только VU>> раззадоривает. :-) AK> в случае одиночного сервера может и не надо, у меня в этом фильтре AK> только AK> "любимчики", трахающие с упорством дятла, чтоб меньше мусорили в AK> логах. Как показывает мой опыт, фильтровать бессмысленно, очень быстро приходит новый бот с нового, но очень похожего IP. Именно это и было мотивацией затормозить аутентификацию. В этом случае новый бот не приходит. AK> Многие вместо этого отваливаются на третьей-пятой попытке без всякого AK> таймаута. Это бывает, например, поиск дырявых dsl routerов. AK> В случае пачки серверов с единым управлением - надо, потому что с AK> этих же ip AK> идут всякие поиски дырок в вебе, ну и почту с такого ip я тоже AK> обрабатывал AK> сразу мэйлером discard. В данном случае речь не идёт о профессиональной деятельности. Мне нечего фильтровать кроме ssh. VU>> Как сделаешь, расскажи, как оно получилось. AK> может через месячишко - пока я не уверен что мне нужен открытый ssh. :-) об чом бозар! Regards, Vova --- Msged/BSD 6.2.0 |
#8
|
|||
|
|||
RE: lazy ssh
Vova Uralsky написал(а) к Sergey Anohin в Apr 15 13:24:58 по местному времени:
Нello Sergey! 21 Apr 15 09:49, Sergey Anohin wrote to Vova Uralsky: VU>> Если бpутфоpсеpы достали и дpугих путей спpятать ssh нет, VU>> пpедлагается сделать ленивый хэндшейк. В случае удачной VU>> аутентификации скоpость восстанавливается. SA> Чем тебе fail2ban не дpуг? Две попытки и в бан на неделю файpволом, SA> pаботает замечательно. Только в комбинации с ssh-agent и key authentication ;-) Если ты не хочешь случайно закрыть себе доступ на неделю. А если ты за NAT, то кто-то может это сделать за тебя. ;-) Да-да, можно зайти с телефона и разблокировать, но значительно удобнее на эти грабли не наступать в связи с их отсутствием. Смысл не в том, чтобы не дать брутфорсерам брутфорсить твой sshd, это сопоставимо с сражением с ветряными мельницами. Смысл в том, чтобы брутфорсеры потеряли интерес к твоему IP. Regards, Vova --- Msged/BSD 6.2.0 |
#9
|
|||
|
|||
Re: lazy ssh
Alex Korchmar написал(а) к Vova Uralsky в Apr 15 15:36:51 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> wrote: AK>> да блин, куда уж больше чем просто drop ? AK>> а оно продолжает и продолжает трахать, сегодня там уже сотня. VU> Ага, приходит снова и снова в надежде что выпадет из списка запрщённых? да хз - вполне возможно что там малчык система перестафиль, а через пол-дня оно снова опа, и начинает с начала по списку - потому что юзера test/test он так и не удалил. VU> Как показывает мой опыт, фильтровать бессмысленно, очень быстро приходит VU> новый бот с нового, но очень похожего IP. с меня не заржавеет и /19 добавить - все равно никакого хорошего траффика с этих ip не дождешься. А оно бывает и через пол-года внезапно активизируется заново. Причем сразу снова пачкой. VU> Именно это и было мотивацией затормозить VU> аутентификацию. В этом случае новый бот не приходит. ну показывал же - приходит как только получает доступ к порту. Или у тебя оно как-то не так работает (или может это именно в твоем ботнете какой-то баг с этими задержками?) VU> Это бывает, например, поиск дырявых dsl routerов. а те что не отвалились что ищут, по-твоему? По-моему им пох что - просто у одних есть словарь, а другие долбят по площадям root/root VU>>> Как сделаешь, расскажи, как оно получилось. AK>> может через месячишко - пока я не уверен что мне нужен открытый ssh. VU> :-) об чом бозар! ну тут очередной как раз говнохостинг назревает. Некоммерческий, поэтому может и обойдемся. > Alex --- ifmail v.2.15dev5.4 |
#10
|
|||
|
|||
Re: lazy ssh
Sergey Anohin написал(а) к Alex Korchmar в Apr 15 17:15:38 по местному времени:
Нello Alex* *Korchmar SA>> Чем тебе fail2ban не дpуг? Две попытки и в бан на неделю файpволом, AK> чеpез неделю починишь свой хост, нефиг было в паpоле опечатываться. Для этого белые люди пpидумали whitelist. Bye, Alex Korchmar, 21 апpеля 15 --- FIPS/IP <build 01.14> |
|
Опции темы | |
Опции просмотра | |
|
|