[Techinfo] linux ssh

[ka at mayten.sch.bme.hu]

Halas temakor, mert mindenki, aki mar latott ssh-t, az szakember benne, 
kabe, mint a tizmillio focibiro, bevandorlasi szakerto, stb.  En is, 
nyilvan.  De mielott egyatlaan elkezdek gondolkodni, egy kis logikai 
gubanc van a leveledben.

Kiemelnem a lenyeget:

> A support beállította, hogy csak kulcs hitelesítést fogadjon el.
[...]
> Akkor hirtelen az jutott eszembe, leállítottam rajta az ssh
[...]
> [Fri Dec 9 03:12:39 2016] Failed password for invalid user docker from
> külső IP-m port 6920 ssh2


Szoval amit nem teljesen ertek, hogy a lokalis SSH beallitasoknak (csak 
kulcs, vagy jelszo is stb), valamint annak, hogy egyatalan fut-e az ssh, 
mi koze van ahhoz, hogy a tuloldalra sshznak ki a te gepedrol?

Mert szerintem semmi.  Tokmindegy, milyen beallitasokat valtoztatsz meg 
az sshd -nal, sot, az is tokmindegy, hogy az sshd egyatalan fut-e, attol 
meg kifele lehet sshzni.  Sot, tovabb megyek.

Bar valoszinu, hogy a sulixod ludas lehet, de a logokban amit 
bemasoldal, csak a publikus ip cimedre volt utalas.  Felteszem, hogy a 
halozatodban barhol ha van egy gep, ha az kilat internetre, akkor 
ugyanazon az IP cimen latszik a NAT miatt.

A kerdes tehat adodik: miert vagy benne biztos, hogy a sulixodat tortek 
fel?  Barmelyik masik belso gepet ha feltortek, vagy arrol mokas kedvu 
egyenek kiserleteztek, esetleg egy mar feltort gepet (trojaival) 
bevittek a halozatodba, kivulrol ezek egymastol 
megkulonboztethetetlenek.

A fentiek tukreben az elhamarkodott lepesektol (mint pl. ssh leallitasa) 
ova intenelek, mert az eddigiek alapjan nem varhato, hogy eredmenyt 
ernel el vele, de legalabb cserebe a hibakeresest sem segiti.

En a kovetkezoket tennem a helyedben

1) atmenetileg az ssh-t kifele csak egyetlen belso ip cimrol engednem 
(ami esetleg egy friss ures linux)
2) erre a linuxra mindenkinek adnek accot, esetleg ldap / ad komboval 
automatikusan lenne mindenkinek
3) barki, aki legitim okbol kifele ssh-zik, atmenetileg ezen a gepen at 
kell azt tegye (jumphost)
4) neznem a logokat, milyen belso ip cimrol megy kifele szokatlan 
mennyisegu ssh
5) azon a gepen neznek szet
6) miutan megoldottam, ujra megnyitnam az ssh-t publikusan es 
megszuntetnem a jumphostot

valoszinuleg amugy annyi tortent, hogy

a) valaki bevitt egy fertozott gepet, a sulixodhoz semmi koze
b) tenyleg megtortek egy vagy tobb szervered, de akkor nem az ssh-t kell 
leallitanod, hanem azt amin keresztul megtortek.  nyilvan ezt ki kell 
deritened, hogy mi volt, valoszinuleg egy webszerveren at feltoltottek 
valami php kodot ami sshzik kifele (es meg ki tudja mi mast csinal)

Ha a gondolatmenetem helyes (es szerintem az, kulonben nem kuldenem be 
egy listara) akkor ova intelek mindenkitol aki a te sajat sshd -t 
konfiguralasara szolit fel, ok lathatoan nem ertettek meg a problemat.

A nyomozast el lehetne kezdeni azzal, hogy visszairhatnal azoknak akik 
az abuse-t bejelentettek es megkerdezhetned, hogy ok milyen idozonaban 
vannak?  A log amit kuldtek, reggel haromkor keszult.  Kis mazlival EU-n 
belul vannak es valami hajnali idopontra esik a tamadasuk ideje, amikor 
relative keves gep van bekapcsolva nalad, ez eleve leszukiti a 
lehetseges jeloltek szamat.  Ha nincs mazlid, akkor amikor naluk reggel 
harom volt, akkor nalad delelott tiz es az osszes gep be volt kapcsolva, 
barkitol johetett.

udv
adam