Bug 21869 - несоответствие формату лога
: несоответствие формату лога
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/sshutout)
: unstable
: all Linux
: P3 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2009-10-08 02:15 by
Modified: 2009-10-15 00:52 (History)


Attachments
Добавляет проверку наличия слов "UNKNOWN USER" в логе (622 bytes, patch)
2009-10-08 02:19, А. Китайкин
no flags Details | Diff


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2009-10-08 02:15:39
В случае атаки на sshd в лог сыплется:
Aug  2 16:42:57 cetium sshd[8294]: Unable to check blacklist for host key
09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Aug  2 16:42:57 cetium sshd[8294]: Unable to check blacklist for host key
43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Aug  2 16:42:57 cetium sshd[8294]: Did not receive identification string from
221.130.128.57
Aug  2 16:47:38 cetium sshd[8322]: Unable to check blacklist for host key
09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Aug  2 16:47:38 cetium sshd[8322]: Unable to check blacklist for host key
43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Aug  2 16:47:44 cetium sshd[8322]: UNKNOWN USER from 221.130.128.57
Aug  2 16:47:44 cetium sshd[8325]: input_userauth_request: UNKNOWN USER

Предусмотренные в sshutout образцы - "Illegal user" or "Invalid user" никак не
кореллируют с UNKNOWN USER. Если я правильно понял назначение и приемы работы
sshutout, то этот факт прекрасно объясняет отсутствие видимых результатов. 

Проверяю на скорую руку сваяный патчик, если поможет - сообщу. В случае удачи
возможно, стоит добавить исправление и в конфиг.
------- Comment #1 From 2009-10-08 02:19:02 -------
Created an attachment (id=3970) [details]
Добавляет проверку наличия слов "UNKNOWN USER" в логе
------- Comment #2 From 2009-10-14 23:55:23 -------
Похоже, что да, заработало наконец. Машинка старенькая, когда ломают, так
жалобно винтом скрипит, как под пилой. Теперь по логу видно, что кого-нибудь
блокируют периодически, в iptables правила добавляются, и удаляются по
истечении.


Oct 14 21:35:24 cetium sshd[12403]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:24 cetium sshd[12407]: input_userauth_request: UNKNOWN USER
Oct 14 21:35:24 cetium sshd[12396]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:24 cetium sshd[12399]: input_userauth_request: UNKNOWN USER
Oct 14 21:35:24 cetium sshd[12407]: Received disconnect from 61.1.207.29: 11:
Bye Bye
Oct 14 21:35:24 cetium sshd[12399]: Received disconnect from 61.1.207.29: 11:
Bye Bye
Oct 14 21:35:24 cetium sshd[12408]: Unable to check blacklist for host key
09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Oct 14 21:35:24 cetium sshd[12408]: Unable to check blacklist for host key
43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Oct 14 21:35:24 cetium sshd[12411]: Unable to check blacklist for host key
09:76:b7:4a:14:6b:eb:af:4d:16:5d:f7:e0:c6:62:4a
Oct 14 21:35:24 cetium sshd[12411]: Unable to check blacklist for host key
43:14:66:71:9b:1a:69:18:18:99:65:29:43:0c:c8:1e
Oct 14 21:35:26 cetium sshutout[5580]: Squelching attack from 61.1.207.29 (30
ssh login attempts) for 36000 seconds.
Oct 14 21:35:26 cetium sshd[12408]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:26 cetium sshd[12411]: UNKNOWN USER from 61.1.207.29
Oct 14 21:35:26 cetium sshd[12415]: input_userauth_request: UNKNOWN USER
Oct 14 21:35:26 cetium sshd[12414]: input_userauth_request: UNKNOWN USER
------- Comment #3 From 2009-10-15 00:52:30 -------
sshutout-1.0.5-alt3 -> sisyphus:

* Wed Oct 14 2009 Michael Shigorin <mike@altlinux> 1.0.5-alt3

- applied patch by A.Kitouwaykin <cetus newmail ru> to add
  "UNKNOWN USER" pattern recognition (closes: #21869)
- minor spec cleanup