lazy ssh

Vova Uralsky написал(а) к All в Apr 15 15:38:48 по местному времени:

Нello All!

Если брутфорсеры достали и других путей спрятать ssh нет, предлагается сделать ленивый хэндшейк. В случае удачной аутентификации скорость восстанавливается.

--- sshd.c 2015-03-17 06:49:20.000000000 +0100
+++ new/sshd.c 2015-04-07 18:15:53.882096316 +0200
@@ -1463,6 +1463,7 @@
int keytype;
Authctxt *authctxt;
struct connectioninfo *connection_info = get_connectioninfo(0, 0);
+ extern int uwl_pause;

#ifdef НAVE_SECUREWARE
(void)setauthparameters(ac, av);
@@ -2176,6 +2177,7 @@

/ perform the key exchange /
/ authenticate user and start session /
+ uwl_pause = 3;
if (compat20) {
dossh2kex();
do_authentication2(authctxt);
@@ -2187,6 +2189,7 @@
fatal("ssh1 not supported");
#endif
}
+ uwl_pause = 0;
/*
* If we use privilege separation, the unprivileged child transfers
* the current keystate and exits
--- dispatch.h 2015-03-17 06:49:20.000000000 +0100
+++ new/dispatch.h 2015-04-07 18:15:47.802125663 +0200
@@ -45,6 +45,7 @@
void sshdispatch_range(struct ssh , u_int, u_int, dispatchfn );
int sshdispatch_run(struct ssh , int, volatile sig_atomict *, void );
void sshdispatch_run_fatal(struct ssh , int, volatile sig_atomict *, void );
+int uwl_pause;

#define dispatch_init(dflt) \
sshdispatch_init(activestate, (dflt))
--- dispatch.c 2015-03-17 06:49:20.000000000 +0100
+++ new/dispatch.c 2015-04-07 18:15:47.794125857 +0200
@@ -29,6 +29,7 @@

#include <signal.h>
#include <stdarg.h>
+#include <unistd.h>

#include "ssh1.h"
#include "ssh2.h"
@@ -97,6 +98,8 @@
uint32t seqnr;

for (;;) {
+ debug("uwlpause: [%d]", uwlpause);
+ sleep(uwl_pause); / slowing down /
if (mode == DISPATCН_BLOCK) {
r = sshpacket_readseqnr(ssh, &type, &seqnr);
if (r != 0)


Regards,
Vova

--- Msged/BSD 6.2.0

Valentin Davydov написал(а) к Vova Uralsky в Apr 15 18:04:25 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org>
> Date: Mon, 20 Apr 2015 15:38:48 +0300
>
>Если брутфорсеры достали и других путей спрятать ssh нет, предлагается сделать
>ленивый хэндшейк. В случае удачной аутентификации скорость восстанавливается.

Так оно сейчас и так паузу как раз в этом месте делает. Пока хост резолвит.

Вал. Дав.

--- ifmail v.2.15dev5.4

Vova Uralsky написал(а) к Valentin Davydov в Apr 15 17:56:36 по местному времени:

Нello Valentin!

20 Apr 15 18:04, Valentin Davydov wrote to Vova Uralsky:

>>Если брутфорсеры достали и других путей спрятать ssh нет, предлагается
>>сделать ленивый хэндшейк. В случае удачной аутентификации скорость
>>восстанавливается.
VD> Так оно сейчас и так паузу как раз в этом месте делает. Пока хост
VD> резолвит.

:-) тыз нал? В том месте, куда я предлагаю вклиниться делается больше одной паузы. Я пару недель потестировал. Пауза в 3 секунды подобрана эмпирически, начиная с такой ломальщики теряют интерес после нескольких попыток.

Regards,
Vova

--- Msged/BSD 6.2.0

Alex Korchmar написал(а) к Vova Uralsky в Apr 15 23:37:15 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> wrote:

VU> паузы. Я пару недель потестировал. Пауза в 3 секунды подобрана эмпирически,
VU> начиная с такой ломальщики теряют интерес после нескольких попыток.
вот этому пидорку расскажи, ага:
18 1080 DROP all -- 58.218.201.19 0.0.0.0/0
(это за сегодня, свеженький)

или вот, к примеру:
1013 40520 DROP all -- 218.59.238.92 0.0.0.0/0
(но это из другой оперы, тут не ручаюсь что это ssh, хотя скорее всего - он)


> Alex

--- ifmail v.2.15dev5.4

Vova Uralsky написал(а) к Alex Korchmar в Apr 15 01:52:58 по местному времени:

Нello Alex!

20 Apr 15 23:37, Alex Korchmar wrote to Vova Uralsky:

VU>> паузы. Я пару недель потестировал. Пауза в 3 секунды подобрана
VU>> эмпирически, начиная с такой ломальщики теряют интерес после
VU>> нескольких попыток.
AK> вот этому пидорку расскажи, ага:
AK> 18 1080 DROP all -- 58.218.201.19
AK> 0.0.0.0/0
AK> (это за сегодня, свеженький)

Ну, ты пропатчи и вывеси такой sshd на 22 порту, по логам сразу видно как несчастные теряют всякий интерес. Только фильтровать вражьи IP ненадо, а то они снова приходят, с соседних, это их только раззадоривает. :-)

Как сделаешь, расскажи, как оно получилось.

Regards,
Vova

--- Msged/BSD 6.2.0

Alex Korchmar написал(а) к Sergey Anohin в Apr 15 14:16:18 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Sergey Anohin <Sergey.Anohin@p1.f10.n5034.z2.fidonet.org> wrote:


SA> Чем тебе fail2ban не дpуг? Две попытки и в бан на неделю файpволом,
через неделю починишь свой хост, нефиг было в пароле опечатываться.


> Alex

--- ifmail v.2.15dev5.4

Vova Uralsky написал(а) к Alex Korchmar в Apr 15 13:13:40 по местному времени:

Нello Alex!

21 Apr 15 08:50, Alex Korchmar wrote to Vova Uralsky:

AK>>> вот этому пидорку расскажи, ага:
AK>>> 18 1080 DROP all -- 58.218.201.19
VU>> Ну, ты пропатчи и вывеси такой sshd на 22 порту, по логам сразу видно
AK> да блин, куда уж больше чем просто drop ?
AK> а оно продолжает и продолжает трахать, сегодня там уже сотня.

Ага, приходит снова и снова в надежде что выпадет из списка запрщённых?

VU>> несчастные теряют всякий интерес. Только фильтровать вражьи IP
VU>> ненадо, а то они снова приходят, с соседних, это их только
VU>> раззадоривает. :-)
AK> в случае одиночного сервера может и не надо, у меня в этом фильтре
AK> только
AK> "любимчики", трахающие с упорством дятла, чтоб меньше мусорили в
AK> логах.

Как показывает мой опыт, фильтровать бессмысленно, очень быстро приходит новый бот с нового, но очень похожего IP. Именно это и было мотивацией затормозить аутентификацию. В этом случае новый бот не приходит.

AK> Многие вместо этого отваливаются на третьей-пятой попытке без всякого
AK> таймаута.

Это бывает, например, поиск дырявых dsl routerов.

AK> В случае пачки серверов с единым управлением - надо, потому что с
AK> этих же ip
AK> идут всякие поиски дырок в вебе, ну и почту с такого ip я тоже
AK> обрабатывал
AK> сразу мэйлером discard.

В данном случае речь не идёт о профессиональной деятельности. Мне нечего фильтровать кроме ssh.

VU>> Как сделаешь, расскажи, как оно получилось.
AK> может через месячишко - пока я не уверен что мне нужен открытый ssh.

:-) об чом бозар!

Regards,
Vova

--- Msged/BSD 6.2.0

Vova Uralsky написал(а) к Sergey Anohin в Apr 15 13:24:58 по местному времени:

Нello Sergey!

21 Apr 15 09:49, Sergey Anohin wrote to Vova Uralsky:

VU>> Если бpутфоpсеpы достали и дpугих путей спpятать ssh нет,
VU>> пpедлагается сделать ленивый хэндшейк. В случае удачной
VU>> аутентификации скоpость восстанавливается.
SA> Чем тебе fail2ban не дpуг? Две попытки и в бан на неделю файpволом,
SA> pаботает замечательно.

Только в комбинации с ssh-agent и key authentication ;-) Если ты не хочешь случайно закрыть себе доступ на неделю. А если ты за NAT, то кто-то может это сделать за тебя. ;-) Да-да, можно зайти с телефона и разблокировать, но значительно удобнее на эти грабли не наступать в связи с их отсутствием.

Смысл не в том, чтобы не дать брутфорсерам брутфорсить твой sshd, это сопоставимо с сражением с ветряными мельницами. Смысл в том, чтобы брутфорсеры потеряли интерес к твоему IP.

Regards,
Vova

--- Msged/BSD 6.2.0

Alex Korchmar написал(а) к Vova Uralsky в Apr 15 15:36:51 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Vova Uralsky <Vova.Uralsky@f257.n5030.z2.fidonet.org> wrote:

AK>> да блин, куда уж больше чем просто drop ?
AK>> а оно продолжает и продолжает трахать, сегодня там уже сотня.
VU> Ага, приходит снова и снова в надежде что выпадет из списка запрщённых?
да хз - вполне возможно что там малчык система перестафиль, а через пол-дня
оно снова опа, и начинает с начала по списку - потому что юзера test/test
он так и не удалил.

VU> Как показывает мой опыт, фильтровать бессмысленно, очень быстро приходит
VU> новый бот с нового, но очень похожего IP.
с меня не заржавеет и /19 добавить - все равно никакого хорошего траффика
с этих ip не дождешься. А оно бывает и через пол-года внезапно активизируется
заново. Причем сразу снова пачкой.

VU> Именно это и было мотивацией затормозить
VU> аутентификацию. В этом случае новый бот не приходит.
ну показывал же - приходит как только получает доступ к порту.
Или у тебя оно как-то не так работает (или может это именно в твоем ботнете
какой-то баг с этими задержками?)

VU> Это бывает, например, поиск дырявых dsl routerов.
а те что не отвалились что ищут, по-твоему?
По-моему им пох что - просто у одних есть словарь, а другие долбят по площадям
root/root

VU>>> Как сделаешь, расскажи, как оно получилось.
AK>> может через месячишко - пока я не уверен что мне нужен открытый ssh.
VU> :-) об чом бозар!
ну тут очередной как раз говнохостинг назревает. Некоммерческий, поэтому может
и обойдемся.


> Alex

--- ifmail v.2.15dev5.4

Sergey Anohin написал(а) к Alex Korchmar в Apr 15 17:15:38 по местному времени:

Нello Alex* *Korchmar
SA>> Чем тебе fail2ban не дpуг? Две попытки и в бан на неделю файpволом,
AK> чеpез неделю починишь свой хост, нефиг было в паpоле опечатываться.

Для этого белые люди пpидумали whitelist.

Bye, Alex Korchmar, 21 апpеля 15
--- FIPS/IP <build 01.14>