OVH Community, your new community space.

Přístupy na ssh


zajca
01-27-2010, 05:46 PM
Citace Původně publikováno LudekMarek
Doporučuji také změnit hned v sshd_config alespoň tyto proměnné:
StrictModes yes
LoginGraceTime 30
MaxAuthTries 3
AllowUsers root user
osobně preferuji způsob root účet nepovolovat, nastavit si vlastního uživatele a jemu povolit plný přístu přes sudo
sshd_config:
Kód:
AllowUsers
a sudoers:
Kód:
  ALL=(ALL) ALL
Jan Cehák
01-08-2010, 02:52 PM
Statistiky asi existují, ale zde na podpoře k nim nemáme přístup. Mohu se pokusit zažádat, zda by je nezveřejnili, ale podle mě by to bylo proti smlouvě, se kterou u nás pronajímatelé serverů souhlasí.

Takže se optám a jestliže to není nic tajného, tak to sem hodím
karel
01-08-2010, 11:16 AM
Citace Původně publikováno Jan Cehák
...Takže se bohužel nedá těmto "útokům" zabránit. Jen bych doporučil používat bezpečná hesla.
Bezpečná hesla používám . Jen mě čistě ze zvědavosti zajímalo, jestli neexistují nějaké zveřejnitelné statistiky podobných "činností" (v OVH je určitě sledujete a musí jít o zajímavé čtení). Zaujalo mě totiž, že ze světa jsou pokusy o přihlášení (ssh, ftp) rozložené rovnoměrně, zatímco z OVH se nárazově objeví třeba deset během jednoho dne, což by napovídalo, že jde o menší botnet(y), který průběžně zkouší servery v rámci OVH.
LudekMarek
12-09-2009, 08:15 AM
Doporučuji také změnit hned v sshd_config alespoň tyto proměnné:
StrictModes yes
LoginGraceTime 30
MaxAuthTries 3
AllowUsers root user
Jan Cehák
12-03-2009, 11:24 AM
OVH má nyní nejvíce serverů v Evropě. Je těžké uhlídat kdo si jaký server objedná a co se serverem poté dělá. Navíc by to bylo proti smlouvě, kterou s OVH naši zákazníci mají. Na serverech má každý zákazník soukromí a nikdo (ani lidi z OVH) tam bez závažných důvodů, nebo na žádost zákazníka, nesmí chodit.

Také naše nízká cena trochu nahrává lidem, kteří si u nás server za účelem spamu, atd. objednají.

Takže se bohužel nedá těmto "útokům" zabránit. Jen bych doporučil používat bezpečná hesla.
karel
12-01-2009, 09:00 PM
Kód:
       91.121.156.134 (ks359281.kimsufi.com)                   2:2   
       87.98.237.108 (87-98-237-108.ovh.net)                   1:1   
       91.121.87.50 (ks27603.kimsufi.com)                      1:1   
       91.121.194.91 (rps591.ovh.net)                          1:1   
       94.23.213.75 (ns207720.ovh.net)                         1:1   
       94.23.216.72 (ns305050.ovh.net)                         1:1
Chřipková epidemie se projevuje - já mám čas podrobně číst logy a děti mají čas zkoušet slovník (jen z OVH, jen za poslední dva dny; obvyklý postup - 3 hesla než "zombie" skončí na pár minut v iptables, pak až na výjimky nezkouší znovu). Taková ta klasika: root, admin, avahi, user, ftpuser, webmaster, oracle atd. Pak asi někdo ze Španělska (vacaciones, estudiante, eaguilar, ...) - část z adres může být podvržená, ale u zbytku bych nepochyboval.

Existuje z OVH někde nějaká studie kolik serverů takhle (a z jakého důvodu) skončí a co na nich "noví správci" dělají (spam, phishing, ... )?
Jan Cehák
11-30-2009, 10:59 AM
První server byl hacknut a proto ten útok.
O druhém serveru zatím nic nevím a budu to řešit. Děkuji za upozornění.
karel
11-29-2009, 12:34 PM
Nechci psát mail (nepochybně se připojí pár dalších lidí), ale kromě obvyklé záplavy pokusů o přihlášení na ssh z různých částí světa jsem zaregistroval za tento týden i dva ze sítě OVH:

Kód:
       94.23.210.174 (ks304237.kimsufi.com)                    1:1  
       94.23.224.211 (ns208569.ovh.net)                        1:1
Nijak mě to netíží a podobné pokusy neřeším - fail2ban funguje spolehlivě - ale správce by mohlo zajímat, co se to děje se servery v síti .