Router försöker accessa min server?

Permalänk
Medlem

Router försöker accessa min server?

Hej!

Har en FreeBSD server där jag kör pf brandvägg och sshguard. Kollade igenom auth loggarna och upptäckte en skum sak.

Apr 4 08:09:33 charlie sshd[74957]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshd[74957]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshd[74957]: Postponed keyboard-interactive for sijohans from 192.168.1.1 port 59225 ssh2 [preauth] Apr 4 08:09:33 charlie sshd[74957]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshd[74957]: Connection closed by 192.168.1.1 [preauth] Apr 4 08:09:33 charlie sshd[74962]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshd[74962]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshd[74962]: Postponed keyboard-interactive for sijohans from 192.168.1.1 port 59226 ssh2 [preauth] Apr 4 08:09:33 charlie sshguard[1108]: Blocking 84.237.221.154:4 for >5400secs: 30 danger in 3 attacks over 0 seconds (all: 30d in 1 abuses over 0s). Apr 4 08:09:33 charlie sshd[74962]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshd[74962]: Connection closed by 192.168.1.1 [preauth] Apr 4 08:09:33 charlie sshd[74968]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshd[74968]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshd[74968]: Postponed keyboard-interactive for sijohans from 192.168.1.1 port 59227 ssh2 [preauth] Apr 4 08:09:33 charlie sshd[74968]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshd[74968]: Connection closed by 192.168.1.1 [preauth] Apr 4 08:09:33 charlie sshd[74973]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:33 charlie sshguard[1108]: Blocking 192.168.1.1:4 for >5400secs: 30 danger in 3 attacks over 0 seconds (all: 30d in 1 abuses over 0s). Apr 4 08:09:34 charlie sshd[74973]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:34 charlie sshd[74973]: Postponed keyboard-interactive for sijohans from 192.168.1.1 port 59228 ssh2 [preauth] Apr 4 08:09:34 charlie sshd[74973]: error: PAM: authentication error for sijohans from 192.168.1.1 Apr 4 08:09:34 charlie sshd[74973]: Connection closed by 192.168.1.1 [preauth] Apr 4 09:49:51 charlie sshd[75891]: Invalid user library from 84.237.221.154 Apr 4 09:49:51 charlie sshd[75891]: input_userauth_request: invalid user library [preauth] Apr 4 09:49:51 charlie sshd[75891]: Connection closed by 84.237.221.154 [preauth] Apr 4 10:33:43 charlie sshd[76347]: Invalid user info from 84.237.221.154 Apr 4 10:33:43 charlie sshd[76347]: input_userauth_request: invalid user info [preauth] Apr 4 10:33:43 charlie sshguard[1108]: Offender '192.168.1.1:4' scored 60 danger in 2 abuses (threshold 40) -> blacklisted. Apr 4 10:33:43 charlie sshguard[1108]: Blocking 192.168.1.1:4 for >0secs: 30 danger in 3 attacks over 2632 seconds (all: 60d in 2 abuses over 8650s).

Min router försöker göra någonting? Vad? Detta har jag inte sätt tidigare. Det finns ett konto sijohans på freebsd servern, men vad har routern med detta att göra? Mitt användarnamn på min macbook är också sijohans men den var avstängd under tiden detta skedde (tror jag iallafall). Min router är en asus RT-N66U
http://www.asus.com/Networking/RTN66U/

Vad är detta "error: PAM: authentication error for" ?

Något förslag? Jag har extremt många breakin attemps varje dag men har starka lösenord samt att dessa blockeras så det borde inte vara någon fara. Har funderat på att byta ssh port.

Permalänk
Medlem

Ser ut som att någon med ip 84.237.221.154 försöker ta sig in på din server via ssh. Slår man upp ipn så ser den ut att komma från lettland, de kör även en webbserver med en lettisk webbsida http://84.237.221.154/

"error: PAM: authentication error for" skulle jag gissa att det står för att lösenordet inte stämmer, de kör troligtvis någon brute-force attack för att försöka komma in

Permalänk
Medlem

Inget konstigt att någon försöker cracka din server via SSH. Du verkar ju redan ha skydd mot det i.o.m sshguard så länge du har ett bra lösenord.
Ser kanske lite konstigt ut dock att din router svartlistas.. Kanske att den har blivit ägd. Isf finns det antagligen kända exploits till RT-N66U. Testa googla det.
Du bör till att börja med byta lösenord på ditt webb-login på routern. Gör en portscanning utifrån, tex via https://www.grc.com/shieldsup för att se ifall du har några onödiga processer som lyssnar på portar utåt.
Om du har otur så är din router en av dem som har UPnP öppet mot internet. Isf är den garanterat ägd sedan länge. Tror att detta testas ifall du kör scannen på länken jag skrev. Då måste du stänga av UPnP i routern och byta lösenord och/eller flasha in tredjeparts firmware.

Permalänk
Medlem

Jag har ett starkt lösenord på routern. Har inte den öppet utåt. Brukar kolka igenom loggarna då och då och se om ngn har kommit in som inte är jag. Lungt än så länge. Har inte mycket öppet utåt. Men blev förvånad när sshguard blockade min router, då blir man förvånad.

Funderar på hur stark säkerhet man har. Hur lång tid skulle det ta ngn duktig att ta sig in?

Har hyffsat starka lösenord på de konton som kan logga in samt bruteforce skydd. Får ju dock dessa konstiga meddelanden då och då.

Är sugen på att släbga upo en webserver, och därmed öppna upp lite mer. Får tänka till ordentligt. Är ju rädd om min data

Har ca 30-40 ips blockade konstant som försöker bruteforca sig in.

Skickades från m.sweclockers.com

Permalänk
Entusiast
Skrivet av trexake:

Jag har ett starkt lösenord på routern. Har inte den öppet utåt. Brukar kolka igenom loggarna då och då och se om ngn har kommit in som inte är jag. Lungt än så länge. Har inte mycket öppet utåt. Men blev förvånad när sshguard blockade min router, då blir man förvånad.

Funderar på hur stark säkerhet man har. Hur lång tid skulle det ta ngn duktig att ta sig in?

Har hyffsat starka lösenord på de konton som kan logga in samt bruteforce skydd. Får ju dock dessa konstiga meddelanden då och då.

Är sugen på att släbga upo en webserver, och därmed öppna upp lite mer. Får tänka till ordentligt. Är ju rädd om min data

Har ca 30-40 ips blockade konstant som försöker bruteforca sig in.

Skickades från m.sweclockers.com

Länktips: https://howsecureismypassword.net/ (Ta nu den här sajten med en grävskopa salt. Se det mer som rolig kuriosa)
...och jag har för mig att den då beräknar hur lång tid det tar att knäcka ett lokalt krypterat lösenord med tusentals försök per sekund.
Att dessutom försöka forcera ett lösenord direkt mot en ssh-server via internet tar mångfalt mycket längre tid, då man bara kan testa några enstaka lösenord var femte sekund, eller om de är riktigt duktiga med en hög olika datorer från olika håll samtidigt: Några enstaka lösenord per sekund. Och detta då utan sshguard som fördröjer försöken ytterligare.

Det du behöver oroa dig mest över, om du har ett hyfsat säkert lösenord, är bandbredden de förbrukar för dig.

Min definition på "Hyffsat säkert lösenord":
Ett lösenord som är längre än 8 tecken, och innehåller både stora och små bokstäver, siffror och specialtecken.
Exempel: #B4dB0!!%D

Mitt tips: Stäng port 22, eller dirigera om den från en hög slumpmässig port (Högre än 1024). T.ex port 34712

Permalänk
Medlem

Ja det är inte realistiskt att gissa ditt lösenord ifall det är av hyffsad kvalitet men du bör flytta SSH från port 22 för att slippa allt för mycket automatiserade attacker.
Du skriver "Har inte den öppet utåt". Har du scannat dina portar då alltså?

Permalänk
Medlem

Håller på att scanna nu (tar lite tid) för att se om det är någonting lurt. Med min router har jag endast port 22 öppet utåt, både TDP och UDP (köra WOL på denna port också).

Så här ser pf confen ut på freebsd burken:

udp_services = "{ ntp }" tcp_services = "{ ssh, http, 49152:65535, 443 }" local_host="192.168.1.150" allowed_ips="{ 192.168.1.0/24 }" table <blockedips> persist file "/etc/blocked_ips.conf" interface="bge0" set block-policy return set skip on lo0 scrub in all block all block drop in log quick on $interface from <blockedips> to any pass out on $interface inet from $local_host to any pass in on $interface inet proto tcp from any to $local_host port $tcp_services pass in on $interface inet proto udp from any to $local_host port $udp_services pass in on $interface inet proto icmp from any to $local_host icmp-type echoreq pass out on $interface inet from $local_host to $allowed_ips pass in on $interface inet from $allowed_ips to $local_host table <sshguard> persist block drop in log quick on $interface inet from <sshguard> to any

Om jag portscannar port 443 eller 80 får jag ingenting. 49152:65535 Är en random port som transmission kör på. Dessa är inte öppen i min asus router. Jag blev förvånad när jag såg att routern som sagt försökt ta sig in. Det var mysko!

Permalänk

Förslag: Stäng av lösenordsautentisering i ssh och byt till key authentication med krypterad nyckel.
På så sätt kan endast den med nyckelfilen och dess lösenord logga in över SSH.

Permalänk
Medlem

Som sagt, det som jag undrade över här är varför min router försökte accessa min server. Med mina starka lösenord och SSH guard anser jag att skyddet är tillräckligt. Kanske ska byta ssh port ändå. Ang att bara köra med key så vill jag kunna logga in på min server från olika enheter även om de inte har key.

Permalänk
Medlem

Ta en titt på google authenticator, är rätt trevligt med tvåstegs-autentisering då man ansluter från internet. Det tillsammans med ett vettigt lösenord så anser jag att du är säker till 99%

Permalänk
Medlem
Skrivet av trexake:

Som sagt, det som jag undrade över här är varför min router försökte accessa min server. Med mina starka lösenord och SSH guard anser jag att skyddet är tillräckligt. Kanske ska byta ssh port ändå. Ang att bara köra med key så vill jag kunna logga in på min server från olika enheter även om de inte har key.

Detta kan du göra fortsättningsvis också, men du måste först öppna ett Shell till en med keycert som sedan leder dig in i härligheten. Råd, slå av lösen på viktiga maskiner och kör sshkey. Kör sshguard på den "oviktiga" som kan öppna mot det viktiga.