SSH – برگه 3 – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

پس از جستجو و خواندن، هنوز در این مورد روشن هستم. شاید به این دلیل که یک سوال بسیار ابتدایی است؟

اگر من در پورت X در تنظیمات روتر من به اسوش اجازه دسترسی به یک کامپیوتر در شبکه خانگی خود را بدهم، آیا این رایانه فقط اتصالات ssh ورودی را در بندر "X" اجازه می دهد؟ یا پورت X برای انواع دیگر اتصالات نیز باز می شود؟

همانطور که می بینم، اگر پورت ssh (در / etc / ssh / sshd_config تنظیم شده است) به تنهایی اتصال اتصالات ssh ورودی را بپذیرد، سپس یک کلید قوی باید آن را نسبتا امن برای ارسال بندر "X" در روتر، درست است؟ اگر نه، این می تواند انجام شود؟ من در سرور اوبونتو 18.04 LTS هستم.

هرگونه افکار، ایده ها یا اصلاحات؟

جولای 4, 2018

سرور – احراز هویت – آیا این چه حمله SSH، آیا من هک شده است؟

من این را در فایل log log (ubuntu server) می بینم:
در ssh من کاربر ریشه است، اما من دیگر کاربر را می بینم Disconnected مانند teamspeak،
منظورش چیست؟

auth.log

 3 ژوئیه 21:39:01 vmi189193 CRON [25937]: pam_unix (cron: session): session for root user
3 ژوئیه 21:40:13 vmi189193 sshd [26041]: اتصال بسته شده توسط 190.96.22.136 بندر 39351 [preauth]
Jul 3 21:41:30 vmi189193 sshd [26057]: اتصال بسته شده توسط 190.96.22.136 بندر 47828 [preauth]
Jul 3 21:42:48 vmi189193 sshd [26067]: اتصال بسته شده توسط 190.96.22.136 بندر 56306 [preauth]
Jul 3 21:44:05 vmi189193 sshd [26279]: کاربر sammy نامعتبر از 82.202.219.155 port 51676
Jul 3 21:44:05 vmi189193 sshd [26279]: pam_unix (sshd: auth): check pass؛ کاربر ناشناخته
3 ژوئیه 21:44:05 vmi189193 sshd [26279]: pam_unix (sshd: auth): خطای احراز هویت؛ logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 82.202.219.155
Jul 3 21:44:05 vmi189193 sshd [26283]: اتصال بسته شده توسط 190.96.22.136 پورت 64785 [preauth]
3 ژوئیه 21:44:07 vmi189193 sshd [26279]: رمز عبور نامعتبر کاربر sammy از 82.202.219.155 پورت 51676 ssh2
3 ژوئیه 21:44:07 vmi189193 sshd [26279]: اتصال توسط کاربر نامعلوم sammy 82.202.219.155 پورت 51676 [preauth]
3 ژوئیه 21:45:22 vmi189193 sshd [26628]: اتصال بسته شده توسط 190.96.22.136 بندر 17263 [preauth]
Jul 3 21:46:38 vmi189193 sshd [27097]: اتصال بسته شده توسط 190.96.22.136 پورت 25740 [preauth]
3 ژوئیه 21:47:55 vmi189193 sshd [27643]: اتصال بسته شده توسط 190.96.22.136 بندر 34217 [preauth]
Jul 3 21:49:12 vmi189193 sshd [28029]: اتصال بسته شده توسط 190.96.22.136 بندر 42696 [preauth]
Jul 3 21:50:28 vmi189193 sshd [28693]: اتصال بسته شده توسط 190.96.22.136 پورت 51173 [preauth]
Jul 3 21:51:43 vmi189193 sshd [29239]: اتصال بسته شده توسط 190.96.22.136 پورت 59649 [preauth]
Jul 3 21:52:59 vmi189193 sshd [29678]: اتصال بسته شده توسط 190.96.22.136 پورت 12126 [preauth]
Jul 3 21:53:24 vmi189193 sshd [29877]: vbox کاربر نامعتبر از 198.245.63.135 پورت 37988
Jul 3 21:53:24 vmi189193 sshd [29877]: pam_unix (sshd: auth): check pass؛ کاربر ناشناخته
3 ژوئیه 21:53:24 vmi189193 sshd [29877]: pam_unix (sshd: auth): شکست احراز هویت؛ logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 198.245.63.135
Jul 3 21:53:26 vmi189193 sshd [29877]: رمز عبور نامعتبر برای Vbox کاربر نامعتبر از 198.245.63.135 پورت 37988 ssh2
Jul 3 21:53:26 vmi189193 sshd [29877]: اتصال توسط کاربر غیرقابل دسترس vbox 198.245.63.135 بندر 37988 [preauth]
Jul 3 21:54:17 vmi189193 sshd [30249]: اتصال بسته شده توسط 190.96.22.136 پورت 20605 [preauth]
3 ژوئیه 21:54:33 vmi189193 sshd [30329]: user teamspeak نامعتبر از 128.199.139.46 پورت 32772
Jul 3 21:54:33 vmi189193 sshd [30329]: pam_unix (sshd: auth): check pass؛ کاربر ناشناخته
Jul 3 21:54:33 vmi189193 sshd [30329]: pam_unix (sshd: auth): خرابی احراز هویت؛ logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 128.199.139.46
Jul 3 21:54:35 vmi189193 sshd [30329]: رمز عبور برای کاربردهای نامعتبر teamspeak از 128.199.139.46 پورت 32772 ssh2
3 ژانویه 21:54:35 vmi189193 sshd [30329]: دریافت قطع از 128.199.139.46 پورت 32772: 11: خاموش کردن عادی، از شما ممنون برای بازی [preauth]
3 ژوئیه 21:54:35 vmi189193 sshd [30329]: متصل از کاربر نامعتبر teampeak 128.199.139.46 پورت 32772 [preauth]
Jul 3 21:55:35 vmi189193 sshd [30642]: اتصال بسته شده توسط 190.96.22.136 بندر 29083 [preauth]
Jul 3 21:56:05 vmi189193 sshd [30763]: pam_unix (sshd: auth): عدم شناسایی؛ logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 196.65.211.46 user = root
Jul 3 21:56:07 vmi189193 sshd [30763]: رمز عبور برای ریشه از 196.65.211.46 پورت 60656 ssh2 ناموفق بود
3 ژوئیه 21:56:23 vmi189193 sshd [30804]: آزمایش کاربر نامعتبر از 46.40.224.46 پورت 4627
Jul 3 21:56:23 vmi189193 sshd [30804]: pam_unix (sshd: auth): check pass؛ کاربر ناشناخته
Jul 3 21:56:23 vmi189193 sshd [30804]: pam_unix (sshd: auth): شکست تأیید صحت؛ logname = uid = 0 euid = 0 tty = ssh ruser = rhost = 46.40.224.46
3 ژوئیه 21:56:25 vmi189193 sshd [30804]: رمز عبور برای آزمایش کاربر نامعتبر از 46.40.224.46 پورت 4627 ssh2 ناموفق بود
Jul 3 21:56:25 vmi189193 sshd [30804]: دریافت قطع از 46.40.224.46 پورت 4627: 11: خاموش کردن عادی، با تشکر از شما برای بازی [preauth]
3 ژوئیه 21:56:25 vmi189193 sshd [30804]: متصل از تست کاربر نامعتبر 46.40.224.46 پورت 4627 [preauth] برای کاربر ریشه بسته است

دریافت قطع از 128.199.139.46 پورت 32772: 11: خاموش عادی، با تشکر از شما برای بازی [preauth]

من از این آی پی "128.199.139.46" استفاده نمی کنم این بدان معنی است که در SSH من وارد شد

syslog:

 3 ژوئیه 21:56:33 vmi189193 systemd [30808]: راه اندازی در 92 مگابایت پایان یافت.
Jul 3 21:56:33 vmi189193 systemd [1]: مدیر کاربر برای UID 0 آغاز شده است.
Jul 3 21:56:55 vmi189193 systemd [1]: توقف سرور OpenBSD Secure Shell ...
Jul 3 21:56:55 vmi189193 systemd [1]: سرور OpenBSD Secure Shell متوقف شد.
Jul 3 21:57:07 vmi189193 systemd [1]: توقف مدیریت کاربر برای UID 0 ...
3 ژوئیه 21:57:07 vmi189193 systemd [30808]: متوقف شد هدف پیش فرض.
3 ژوئیه 21:57:07 vmi189193 systemd [30808]: سیستم Basic هدف را متوقف کرد.
3 ژوئیه 21:57:07 vmi189193 systemd [30808]: مسیرهای هدف متوقف شده است.
3 ژوئیه 21:57:07 vmi189193 systemd [30808]: سوکت هدف متوقف شده است.
3 ژوئیه 21:57:07 vmi189193 systemd [30808]: عامل رمزنگاری GnuPG بسته و عبارت رمز عبور (دسترسی به مرورگرهای وب).
Jul 3 21:57:07 vmi189193 systemd [30808]: عامل رمزنگاری GnuPG بسته و عبارت رمز عبور (محدود شده).
3 ژوئیه 21:57:07 vmi189193 systemd [30808]: عامل رمزنگاری GnuPG و حافظه پنهان بسته.
Jul 3 21:57:07 vmi189193 systemd [30808]: عامل رمزنگاری GnuPG بسته (شبیه سازی ssh-agent).
Jul 3 21:57:07 vmi189193 systemd [30808]: سرویس دهی مدیریت گواهی شبکه GnuPG بسته شده است.
3 ژوئیه 21:57:07 vmi189193 systemd [30808]: هدف خاتمه یافت.
Jul 3 21:57:07 vmi189193 systemd [30808]: شروع به خروج از جلسه ...
3 ژوئیه 21:57:07 vmi189193 systemd [30808]: تایمر های هدف متوقف شده است.
Jul 3 21:57:07 vmi189193 systemd [30808]: دریافت SIGRTMIN + 24 از PID 30986 (کشتن).
Jul 3 21:57:07 vmi189193 systemd [1]: مدیر کاربر برای UID 0 متوقف شد.
3 ژوئیه 21:57:07 vmi189193 systemd [1]: برش کاربر برش از ریشه حذف شده است.

apache2 / error.log:

 [Tue Jul 03 05:13:06.328518 2018] [:error] [pid 1691] [client 193.106.30.99:43022] اسکریپت '/var/www/html/config.php' یافت نشد و یا قادر به استات
[Tue Jul 03 06:25:31.410677 2018] [mpm_prefork:notice] [pid 473]  AH00171: درخواست مجدد برازنده درخواست، انجام راه اندازی مجدد
[Tue Jul 03 06:25:31.785144 2018] [mpm_prefork:notice] [pid 473]  AH00163: آپاچی / 2.4.29 (اوبونتو) OpenSSL / 1.1.0h پیکربندی شده - بازنگری عملیات عادی
[Tue Jul 03 06:25:31.785177 2018] [core:notice] [pid 473]  AH00094: خط فرمان: '/ usr / sbin / apache2'
[Tue Jul 03 10:09:05.404249 2018] [ssl:error] [pid 6857]  AH02031: نام میزبان  x05  xbd  x99  xbb  x01 از طریق SNI ارائه شده است، اما هیچ نام میزبان در درخواست HTTP ارائه نشده است
[Tue Jul 03 11:44:26.890746 2018] [:error] [pid 6856] [client 185.234.217.74:65222]  اسکریپت '/var/www/html/wp-login.php' پیدا نشد و یا قادر به استات، مرجع: http://toolsfy.com/wp-login.php
[Tue Jul 03 11:44:26.925238 2018] [:error] [pid 6856] [client 185.234.217.74:65222]  اسکریپت '/var/www/html/wp-login.php' پیدا نشد و یا قادر به استات، مرجع: http://toolsfy.com/wp-login.php
[Tue Jul 03 12:26:39.983017 2018] [:error] [pid 6860] [client 193.106.30.99:51378]  اسکریپت '/var/www/html/consystem.php' پیدا نشد و یا قادر به استات
[Tue Jul 03 13:49:55.465880 2018] [:error] [pid 7610] [client 182.48.105.210:4713]  اسکریپت '/var/www/html/p.php' پیدا نشد و یا قادر به استات، مرجع: http://5.189.153.32:80//p.php
[Tue Jul 03 18:20:33.788942 2018] [:error] [pid 6859] [client 37.59.206.152:56326]  اسکریپت '/var/www/html/wp-login.php' پیدا نشد و یا قادر به استات
[Tue Jul 03 18:28:20.668974 2018] [ssl:error] [pid 17175]  AH02031: نام میزبان  x05  xbd  x99  xbb  x01 از طریق SNI ارائه شده است، اما هیچ نام میزبان در درخواست HTTP ارائه نشده است
[Tue Jul 03 19:19:37.193466 2018] [:error] [pid 6859] [client 193.106.30.99:47542]  اسکریپت '/var/www/html/consystem.php' یافت نشد یا قادر به ساختن
[Tue Jul 03 21:45:28.709800 2018] [:error] [pid 21250] [client 196.65.211.46:63463]  اسکریپت '/var/www/html/wp-login.php' پیدا نشد و یا قادر به استات
[Tue Jul 03 21:45:51.223006 2018] [:error] [pid 6860] [client 196.65.211.46:55697]  اسکریپت '/var/www/html/p.php' پیدا نشد و یا قادر به ساختن
[Tue Jul 03 21:45:55.370434 2018] [:error] [pid 17177] [client 196.65.211.46:59635]  اسکریپت '/var/www/html/p.php' پیدا نشد و یا قادر به ساختن

به نظر می رسد که او سعی دارد در وردپرس وارد شود اما من آن را ندارم.
من اصرار زیادی در امنیت ندارم، بد است یا من هک شده ام
من ssh را غیرفعال کردم (systemctl stop ssh؛) من می توانم این کار را انجام دهم.
با تشکر از شما

جولای 2, 2018

نحوه ارزیابی آسیب در سرور SSH آسیب دیده بر روی کامپیوتر شخصی

با توجه به نظارت احمقانه در سمت من، من کامپیوتر شخصی خود را در حال اجرا لینوکس به اینترنت عمومی برای کمی بیش از 48 ساعت باز کردم. متأسفانه، متوجه شدم که اشتباه کردم خیلی دیر شده و چندین تلاش موفق برای ورود مجبور به ورود مجدد سیستم از آدرسهای IP از سراسر جهان پیدا کردم. علاوه بر این، کاربری که آنها برای ورود به سیستم داشتند دسترسی ریشه داشت. جلسات تنها یک ثانیه طول کشید، بنابراین فرض میکنم اینها دسترسی خودکار از رباتهایی است که از اینترنت برای باز کردن سرورهای SSH استفاده میکنند.

در اینجا یک ورودی از سیستم ورودی من است:

 01 ژوئیه 16:17:51 hostname sshd [21370]: پذیرش رمز عبور برای کاربر از port 146.0.XXX.XXX port 50424 ssh2
01 ژوئیه 16:17:51 hostname sshd [21370]: pam_unix (sshd: session): session برای کاربر کاربر توسط uid = 0
Jul 01 16:17:51 hostname sshd [21370]: pam_unix (sshd: session): جلسه برای کاربر کاربر بسته است

حالا لطفا من را مضحک نکنید – من متوجه شدم اشتباه من و من فکر می کنم کامپیوتر من به طور کامل به خطر افتاده است. من نصب جدیدی را نصب خواهم کرد، اطلاعات را از پشتیبان گیری قبل از نفوذ به دست می آورم و تمام رمزهای عبور و کلیدها را تغییر می دهم.

آنچه که من می خواهم بدانم این است که چگونه آسیب ناشی از آن را ارزیابی کنید. آیا می توانم به دستوراتی که توسط آن ربات ها انجام می شود و داده هایی که توسط آنها دسترسی پیدا می شود نگاه کنم؟ متاسفانه، .bash_history هیچ ورودی جدید برای کاربر یا کاربر ریشه ندارد. از آنجا که جلسات فقط یک ثانیه طول کشید، امیدوارم بتوانند داده های شخصی زیادی را از هارد دیسک من بارگیری کنند؟

ژوئن 25, 2018

تونل زنی SSH هیچ پاسخی را نشان نمی دهد.

من سعی می کنم به تونل ssh به این جعبه CTF بپردازم و این فرمان است که با استفاده از

 ssh -L 2020: 127.0.0.1: 5901 [email protected]

و برای وصل کردن به سوکت 2020، از

 ssh -p 2020 [email protected] استفاده می کنم

زمانی که من این کار را انجام می دهم، سریعا به من می دهد. خطوط خالی هیچ پاسخی ندارند BTW 5901 یک پورت آزاد در دستگاه CTF است.

من قبلا یک پوسته روی ماشین دارم، سعی کردم

 netstat-a | grep تاسیس شد
tcp4 0 0 localhost.5801 localhost.30508 تعریف شده است

بنابراین اتصال به بندر تاسیس شده است. آیا کسی می تواند به من بگوید که من اشتباه می کنم؟