#21869 – несоответствие формату лога

Bug 21869 - несоответствие формату лога

Summary: несоответствие формату лога

Status:	CLOSED FIXED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	sshutout (show other bugs)
Version:	unstable
Hardware:	all Linux

Importance:	P3 normal
Assignee:	Michael Shigorin
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2009-10-08 02:15 MSD by А. Китайкин
Modified:	2009-10-15 00:52 MSD (History)
CC List:	1 user (show)

See Also:

Attachments
Добавляет проверку наличия слов "UNKNOWN USER" в логе (622 bytes, patch) 2009-10-08 02:19 MSD, А. Китайкин	no flags	Details \| Diff
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description А. Китайкин 2009-10-08 02:15:39 MSD

В случае атаки на sshd в лог сыплется:
Aug  2 16:42:57 cetium sshd[8294]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Aug  2 16:42:57 cetium sshd[8294]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Aug  2 16:42:57 cetium sshd[8294]: Did not receive identification string from 221.130.128.57
Aug  2 16:47:38 cetium sshd[8322]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Aug  2 16:47:38 cetium sshd[8322]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Aug  2 16:47:44 cetium sshd[8322]: UNKNOWN USER from 221.130.128.57
Aug  2 16:47:44 cetium sshd[8325]: input_userauth_request: UNKNOWN USER

Предусмотренные в sshutout образцы - "Illegal user" or "Invalid user" никак не кореллируют с UNKNOWN USER. Если я правильно понял назначение и приемы работы sshutout, то этот факт прекрасно объясняет отсутствие видимых результатов. 

Проверяю на скорую руку сваяный патчик, если поможет - сообщу. В случае удачи возможно, стоит добавить исправление и в конфиг.

Comment 1 А. Китайкин 2009-10-08 02:19:02 MSD

Created attachment 3970 [details]
Добавляет проверку наличия слов "UNKNOWN USER" в логе

Comment 2 А. Китайкин 2009-10-14 23:55:23 MSD

Похоже, что да, заработало наконец. Машинка старенькая, когда ломают, так жалобно винтом скрипит, как под пилой. Теперь по логу видно, что кого-нибудь блокируют периодически, в iptables правила добавляются, и удаляются по истечении.


Oct 14 21:35:24 cetium sshd[12403]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:24 cetium sshd[12407]: input_userauth_request: UNKNOWN USER
Oct 14 21:35:24 cetium sshd[12396]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:24 cetium sshd[12399]: input_userauth_request: UNKNOWN USER
Oct 14 21:35:24 cetium sshd[12407]: Received disconnect from 61.1.207.29: 11: Bye Bye
Oct 14 21:35:24 cetium sshd[12399]: Received disconnect from 61.1.207.29: 11: Bye Bye
Oct 14 21:35:24 cetium sshd[12408]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Oct 14 21:35:24 cetium sshd[12408]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Oct 14 21:35:24 cetium sshd[12411]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Oct 14 21:35:24 cetium sshd[12411]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Oct 14 21:35:26 cetium sshutout[5580]: Squelching attack from 61.1.207.29 (30 ssh login attempts) for 36000 seconds.
Oct 14 21:35:26 cetium sshd[12408]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:26 cetium sshd[12411]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:26 cetium sshd[12415]: input_userauth_request: UNKNOWN USER
Oct 14 21:35:26 cetium sshd[12414]: input_userauth_request: UNKNOWN USER

Comment 3 Repository Robot 2009-10-15 00:52:30 MSD

sshutout-1.0.5-alt3 -> sisyphus:

* Wed Oct 14 2009 Michael Shigorin <mike@altlinux> 1.0.5-alt3

- applied patch by A.Kitouwaykin <cetus newmail ru> to add
  "UNKNOWN USER" pattern recognition (closes: #21869)
- minor spec cleanup