Login fallito a distanza ravvicinata in auth.log

Naviga le tue risposte
3

Ho un raspberry-pi (con GNU / Linux) e di recente ho permesso al mio router di inoltrare la porta 22 (ssh) al raspberry-pi in modo che potessi accedere mentre ero fuori casa.

Poi ho notato una serie di tentativi apparenti di intrusione (login di root non riusciti provenienti da un indirizzo IP cinese) in auth.log e ho un paio di domande sulla sincronizzazione degli accessi root falliti.

Ecco uno snippet dal mio file /var/log/auth.log (il primo numero è solo il numero di riga da vi): 

5966 Sep  7 11:50:19 raspberrypi sshd[13759]: Failed password for root from 122.225.103.125 port 34328 ssh2
5967 Sep  7 11:50:20 raspberrypi sshd[13755]: Failed password for root from 122.225.103.125 port 32582 ssh2
5968 Sep  7 11:50:20 raspberrypi sshd[13763]: Failed password for root from 122.225.103.125 port 35381 ssh2
5969 Sep  7 11:50:21 raspberrypi sshd[13759]: Failed password for root from 122.225.103.125 port 34328 ssh2
5970 Sep  7 11:50:22 raspberrypi sshd[13763]: Failed password for root from 122.225.103.125 port 35381 ssh2
5971 Sep  7 11:50:24 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5972 Sep  7 11:50:24 raspberrypi sshd[13763]: Failed password for root from 122.225.103.125 port 35381 ssh2
5973 Sep  7 11:50:25 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5974 Sep  7 11:50:26 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5975 Sep  7 11:50:26 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5976 Sep  7 11:50:28 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5977 Sep  7 11:50:28 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5978 Sep  7 11:50:29 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5979 Sep  7 11:50:31 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5980 Sep  7 11:50:31 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5981 Sep  7 11:50:31 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5982 Sep  7 11:50:33 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5983 Sep  7 11:50:33 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5984 Sep  7 11:50:34 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5985 Sep  7 11:50:35 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5986 Sep  7 11:50:35 raspberrypi sshd[13771]: Failed password for root from 122.225.103.125 port 40360 ssh2
5987 Sep  7 11:50:36 raspberrypi sshd[13767]: Failed password for root from 122.225.103.125 port 39706 ssh2
5988 Sep  7 11:50:37 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2
5989 Sep  7 11:50:38 raspberrypi sshd[13779]: Failed password for root from 122.225.103.125 port 46112 ssh2
5990 Sep  7 11:50:39 raspberrypi sshd[13775]: Failed password for root from 122.225.103.125 port 41540 ssh2

Ed ecco uno snippet dal mio /etc/pam.d/login file (il primo numero è solo il numero di riga da vi): 

9 auth       optional   pam_faildelay.so  delay=3000000

Come puoi vedere il ritardo è impostato in pam.d / login a tre secondi ... Tuttavia gli accessi root falliti arrivano a circa 1 secondo di distanza. Com'è possibile? È perché gli accessi provengono da diversi porti o tty? Inoltre, quando provo a emulare questo comportamento inserendo la password di root errata, trovo che dopo tre tentativi mi disconnetto e questo si presenta in auth.log come: 

231 Sep 17 11:51:57 raspberrypi sshd[17591]: Failed password for root from 192.168.42.71 port 34208 ssh2
232 Sep 17 11:52:01 raspberrypi sshd[17591]: Failed password for root from 192.168.42.71 port 34208 ssh2
233 Sep 17 11:52:04 raspberrypi sshd[17591]: Failed password for root from 192.168.42.71 port 34208 ssh2
234 Sep 17 11:52:04 raspberrypi sshd[17591]: Connection closed by 192.168.42.71 [preauth]

I miei tre tentativi falliti sono distanziati di almeno 3 secondi (come specificato in pam.d / login). Com'è possibile per chiunque stia tentando di entrare per fare più di un tentativo ogni tre secondi e perché la connessione non viene chiusa dopo tre tentativi falliti?

Qualsiasi aiuto nella comprensione di questo comportamento sarebbe molto apprezzato. Sentiti libero di dare riferimenti se non sei in vena di scrivere una risposta. Oh, anche se qualcuno ha qualche idea su come è stato preso di mira il mio indirizzo IP o se è solo casuale, sarei interessato a sentirlo.

    
posta hft 17.09.2014 - 21:21
fonte

2 risposte

1

Come sottolineato da apsillers nel commento, ciò che stai vedendo sono più connessioni TCP dallo stesso indirizzo IP. Se raggruppate i numeri di porta di origine, sarete in grado di vedere che ogni connessione sta effettuando un tentativo di accesso con una velocità massima di uno per due secondi: 

5967 Sep  7 11:50:20 .... sshd[13755]: Failed .... from 122.225.103.125 port 32582 ssh2

5966 Sep  7 11:50:19 .... sshd[13759]: Failed .... from 122.225.103.125 port 34328 ssh2
5969 Sep  7 11:50:21 .... sshd[13759]: Failed .... from 122.225.103.125 port 34328 ssh2

5968 Sep  7 11:50:20 .... sshd[13763]: Failed .... from 122.225.103.125 port 35381 ssh2
5970 Sep  7 11:50:22 .... sshd[13763]: Failed .... from 122.225.103.125 port 35381 ssh2
5972 Sep  7 11:50:24 .... sshd[13763]: Failed .... from 122.225.103.125 port 35381 ssh2

5971 Sep  7 11:50:24 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5974 Sep  7 11:50:26 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5976 Sep  7 11:50:28 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5980 Sep  7 11:50:31 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5984 Sep  7 11:50:34 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2
5987 Sep  7 11:50:36 .... sshd[13767]: Failed .... from 122.225.103.125 port 39706 ssh2

Il motivo per cui lo stesso indirizzo IP può effettuare più connessioni SSH è perché si stanno aprendo più terminali allo stesso tempo. Dovresti essere in grado di osservare la stessa cosa attivando tre terminali, eseguire ssh root@localhost e premendo invio s al prompt della password.

Per le tue impostazioni di configurazione PAM, dovresti guardare /etc/pam.d/sshd anziché /etc/pam.d/login . Inoltre, dalla man page di pam.d , si dice:

optional
the success or failure of this module is only important if it is the only module in the stack associated with this service+type.

No, il tuo indirizzo IP non è l'unico indirizzato. È una scansione automatica di diversi computer compromessi, principalmente in Cina. Questo è un elenco di porte IP di targeting 22 che ho raccolto in pochi giorni: 

61.174.50.184
61.174.50.213
61.174.51.194
61.174.51.197
61.174.51.198
61.174.51.202
61.174.51.203
61.174.51.209
61.174.51.210
61.174.51.216
61.174.51.217
61.174.51.218
61.174.51.219
61.174.51.221
61.174.51.224
61.174.51.229
61.174.51.233

114.80.246.144

116.10.191.162
116.10.191.163
116.10.191.165
116.10.191.167
116.10.191.168
116.10.191.169
116.10.191.171
116.10.191.174
116.10.191.176
116.10.191.177
116.10.191.179
116.10.191.180
116.10.191.181
116.10.191.186
116.10.191.187
116.10.191.189
116.10.191.190
116.10.191.194
116.10.191.195
116.10.191.199
116.10.191.201
116.10.191.202
116.10.191.203
116.10.191.206
116.10.191.208
116.10.191.214
116.10.191.215
116.10.191.217
116.10.191.218
116.10.191.220
116.10.191.224
116.10.191.229
116.10.191.231
116.10.191.235
116.10.191.236

117.21.173.140
117.21.227.58

122.225.103.125 <= WENZHOU GAOJIE TECHNOLOGY CO.LTD

122.225.109.100

122.225.109.103
122.225.109.104
122.225.109.107

122.225.109.195
122.225.109.196
122.225.109.203
122.225.109.205
122.225.109.216
122.225.109.218
122.225.109.220
122.225.109.221

183.60.202.238

183.110.253.233

183.136.213.180

222.186.21.78
222.186.52.160
222.186.56.7
222.186.56.76
222.186.56.119

223.255.205.201

Per il caso particolare, se hai tempo da perdere, potresti voler contattare Shengzhong Liu di WENZHOU GAOJIE TECHNOLOGY CO.LTD al + 86-13738375522 (da whois record) per fargli sapere che uno dei suoi i computer sono compromessi. In alternativa, puoi prendere in considerazione il passaggio da ssh a un'altra porta e disabilitare il login di root per evitare le molestie.

    
risposta data 18.09.2014 - 04:37
fonte
1

Sto postando questa nuova risposta alla mia domanda perché una parte della mia domanda originale non è stata completamente affrontata. In particolare, quale tipo di strumento potrebbe essere utilizzato per fare tanti tentativi di connessione, apparentemente più rapidamente del tempo di ritardo minimo che avevo impostato nella configurazione della mia pam.

È stato usato uno strumento come Hydra (vedi www.thc.org). Per verificarlo ho installato Kali Linux (che viene fornito con hydra) su una macchina di riserva e ho usato hydra per provare e forzare la password di root sul mio raspberry pi.

Il file auth.log risultante è molto simile all'attacco effettivo; ha molto più tentativi di accesso di uno ogni tre secondi ... Non sono ancora sicuro di come sia stato realizzato in hydra, ma mi sento abbastanza sicuro che uno strumento simile a (o uguale a) hydra sia stato usato per l'attacco.

Infine, al fine di aumentare la sicurezza del mio pi ho apportato alcune modifiche al sistema. Ho configurato e avviato il servizio firewall "UFW". Ho installato e avviato il servizio "fail2ban". E, infine, sono passato dall'autenticazione della password alle chiavi SSH.

Ah ... mi sento molto meglio ora.

    
risposta data 02.03.2015 - 07:46
fonte

Leggi altre domande sui tag

La posta elettronica firmata PGP sarà bloccata in Cina? Modo sicuro per archiviare le impostazioni dell'applicazione