Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 4314 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

dos via ssh shell access

crash893
Hi all,

I was playing around with shellaccess via ssh


1) i put in a strong password 12 char password but i left ssh on port 22 and now it apears that there is a hacker love fest trying break into my asg

2) I can no longer access the web interface (i suspect that its because of the timeout)


3) i never set a root password so does that mean root can not be accessed via shell?

4) is there a way from userlogin to get to anything that i should worry about

My intention is not to leave this open but im not in the physical area so Im not sure if i should tell the office users to pull the plug or wait it out till i can show up tomorrow




https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21585


This thread was automatically locked due to age.
  • 0
    1. Download putty and puttygen, and use the option to have access limited to computers with your private key.  Instead of "Any" network, I usually limit to "Internal (Network)" and IPs from which I normally work.  Beyond that, I allow some Remote Access IPs so that I can access from my iPhone.

    3. It means that the first person that gets past the initial login will get to set the root password.

    4. Yes.  See #4.

    It sounds like they probably won't get past your first password.  

    Cheers - Bob
  • 0 in reply to BAlfson
    I can log in now (via ssh)

    would you mind telling me how to set the root password so that I can setup another layer for this Ass hat go through before i can get down there and change the port?
  • 0
    After you get past the first login, do

    su -


    and you'll have an opportunity to set the password for root.

    The recommended way is to do this in WebAdmin in 'Management >> System Settings' on the 'Shell Access' tab.

    Cheers - Bob
  • 0 in reply to BAlfson
    I gave this a try and it promts me for a password when i do su- 

    which is odd that i never set a password for root in the shellaccess screen


    I would love to do this via the web interface but they guy is essentially DOSing me out of the web interface 

    I think im going to have to go to the location and pull the wan let the router catch up then change the port number or just turn it all of completely


    Is it normal for a ssh flood to kick the web interface offline that seems like a bit of a vulrablity (that you cant get in there and block/turn off the attack port)
  • 0
    I gave this a try and it promts me for a password when i do su- 

    It is asking you to provide a password, if you haven't set it through WebAdmin, then you're effectively locked out.

    Is it normal for a ssh flood to kick the web interface offline that seems like a bit of a vulrablity (that you cant get in there and block/turn off the attack port)
    More than likely this is a DDoS, where you are being hammered by connection attempts from many systems at once.  It is taking system resources to scan the traffic, decide that it is bad, and block it, overloading your system.  The traffic is already there and the Astaro is using all of the system resources to block the it.  This is what makes it impossible to remediate a large enough DDoS attack from the target system itself.   If you have business class internet at this location, contact the NOC of your ISP and they may be able to block the attack further up stream.
  • 0 in reply to Scott_Klassen
    thanks for the reply however all the users never lost internet access the entire time

    they were completely unaware this was going on at all. the only thing affected was my ablility to log into the web interface (error 503) and getting blasted with "warn-006" emails


    once i unpluged the wan and waited a few min i was able to logon to the web interface disable the shell access and jump back on the wan so far so good


    where in  the logs would unsucesful ssh atempts be stored (i notice in the email it gave the login name attempted and the ip address i would love to see any other info)
  • 0
    Hi, it'd be in /var/log/sshd.log

    Barry