Bug 21869

Summary: несоответствие формату лога
Product: Sisyphus Reporter: А. Китайкин <cetus>
Component: sshutoutAssignee: Michael Shigorin <mike>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: mike
Version: unstable   
Hardware: all   
OS: Linux   
Attachments:
Description Flags
Добавляет проверку наличия слов "UNKNOWN USER" в логе none

Description А. Китайкин 2009-10-08 02:15:39 MSD 
В случае атаки на sshd в лог сыплется:
Aug  2 16:42:57 cetium sshd[8294]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Aug  2 16:42:57 cetium sshd[8294]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Aug  2 16:42:57 cetium sshd[8294]: Did not receive identification string from 221.130.128.57
Aug  2 16:47:38 cetium sshd[8322]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Aug  2 16:47:38 cetium sshd[8322]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Aug  2 16:47:44 cetium sshd[8322]: UNKNOWN USER from 221.130.128.57
Aug  2 16:47:44 cetium sshd[8325]: input_userauth_request: UNKNOWN USER

Предусмотренные в sshutout образцы - "Illegal user" or "Invalid user" никак не кореллируют с UNKNOWN USER. Если я правильно понял назначение и приемы работы sshutout, то этот факт прекрасно объясняет отсутствие видимых результатов. 

Проверяю на скорую руку сваяный патчик, если поможет - сообщу. В случае удачи возможно, стоит добавить исправление и в конфиг.
Comment 1 А. Китайкин 2009-10-08 02:19:02 MSD 
Created attachment 3970 [details]
Добавляет проверку наличия слов "UNKNOWN USER" в логе
Comment 2 А. Китайкин 2009-10-14 23:55:23 MSD 
Похоже, что да, заработало наконец. Машинка старенькая, когда ломают, так жалобно винтом скрипит, как под пилой. Теперь по логу видно, что кого-нибудь блокируют периодически, в iptables правила добавляются, и удаляются по истечении.


Oct 14 21:35:24 cetium sshd[12403]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:24 cetium sshd[12407]: input_userauth_request: UNKNOWN USER
Oct 14 21:35:24 cetium sshd[12396]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:24 cetium sshd[12399]: input_userauth_request: UNKNOWN USER
Oct 14 21:35:24 cetium sshd[12407]: Received disconnect from 61.1.207.29: 11: Bye Bye
Oct 14 21:35:24 cetium sshd[12399]: Received disconnect from 61.1.207.29: 11: Bye Bye
Oct 14 21:35:24 cetium sshd[12408]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Oct 14 21:35:24 cetium sshd[12408]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Oct 14 21:35:24 cetium sshd[12411]: Unable to check blacklist for host key 09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Oct 14 21:35:24 cetium sshd[12411]: Unable to check blacklist for host key 43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Oct 14 21:35:26 cetium sshutout[5580]: Squelching attack from 61.1.207.29 (30 ssh login attempts) for 36000 seconds.
Oct 14 21:35:26 cetium sshd[12408]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:26 cetium sshd[12411]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:26 cetium sshd[12415]: input_userauth_request: UNKNOWN USER
Oct 14 21:35:26 cetium sshd[12414]: input_userauth_request: UNKNOWN USER
Comment 3 Repository Robot 2009-10-15 00:52:30 MSD 
sshutout-1.0.5-alt3 -> sisyphus:

* Wed Oct 14 2009 Michael Shigorin <mike@altlinux> 1.0.5-alt3

- applied patch by A.Kitouwaykin <cetus newmail ru> to add
  "UNKNOWN USER" pattern recognition (closes: #21869)
- minor spec cleanup