Comments 101
А может это последствия кризиса?
-4
UFO just landed and posted this here
А это целенаправленная атака или просто накрывают сервера с открытыми портами(по ssh судя по логам ходят)
0
а если закрыть ssh со всех айпи, только со своего открыть…
0
Надо просто юзать 2048-битные ключики, помимо текстовой авторизации.
+4
как это поможет против перебора?
-1
ключики на SSH это не только безопасность, но и удобство :)
яя себе putty/far(winscp) настраиваю на работу с конкретным ключиком и не парюсь по поводу ввода паролей :)
яя себе putty/far(winscp) настраиваю на работу с конкретным ключиком и не парюсь по поводу ввода паролей :)
0
Может, просто использовать несловарный пароль?
0
ssh надо просто перевешивать на нестандартный порт (за 1024-й)
0
От случайной атаки спасёт, но если решат докопаться до отдельно взятого сервера — вероятней всего по ответам сервисов поймут что и где висит. Зафаерволиться надёжней.
0
Кстати, если перевесить ssh, на 22й порт повесить portsentry — вполне может помочь :)
+1
Тогда уж проще держать руку на пульсе новостей, и оперативно менять пароль как только становится известны текущая позиция в словаре перебора.
0
а если закрыть ssh со всех айпи, только со своего открыть…
не всегда удобно. бывает нужно порулить черт знает откуда… или IP дома динамичский, как у меня.
поэтому для себя решаю проблему подъемом OpenVPN на нестандартном порту с авторизацией сертификатами (теперь пусть брутфорсят, ага). все порты снаружи закрываю кроме VPN и публичных сервисов (http, https, etc), а из внутренней сети могу творить все что угодно :)
0
Накрывают по открытым портам.
0
похоже развлекается CIA XD
-1
Их бы палить по этому признаку и собирать в одну базу.
Сервис IsMyComputerPartOfBotnet.com, сообщающий, светился ли мой IP-адрес (и адреса из моей подсетки) в подобных атаках, был бы востребован :)
Сервис IsMyComputerPartOfBotnet.com, сообщающий, светился ли мой IP-адрес (и адреса из моей подсетки) в подобных атаках, был бы востребован :)
+3
Быстрее меня печатаете :)
0
Отличная идея для сайта, прикольный домен.
+2
А вот вы подумайте, как работает spamhaus.
0
UFO just landed and posted this here
И чтобы, к примеру, гугл (или наверное для тех, у кого комп может быть в рабстве, это должны быть одноклассники какие-нить :) говорил, ваш ИП находится в базе ботов и отсылал на инструкцию по мерам, которые необходимо применить.
0
Фуф, моего адреса в логах нет, я не зомби!
А вообще хорошо бы создать базу бот-логов где бы человек мог автоматически проверять свой адрес и выявлять нахождение бота на своей машине.
А вообще хорошо бы создать базу бот-логов где бы человек мог автоматически проверять свой адрес и выявлять нахождение бота на своей машине.
0
хм кажется настает время когда придется создавать интернет внутри интернета
0
>Также неясно, почему злоумышленники не трогают машины под OpenBSD.
гм ;) наверное потому, что в OpenBSD под дефолту запрещено всё, что не разрешено. А так же потому, что OpenBSD — это одна из немногих OS с минимальным количеством уязвимостей за всю историю сети ;)
гм ;) наверное потому, что в OpenBSD под дефолту запрещено всё, что не разрешено. А так же потому, что OpenBSD — это одна из немногих OS с минимальным количеством уязвимостей за всю историю сети ;)
+4
А что если изменить логин, так чтобы он начинался на последную букву альфавита. А перед тем как они будут подходить к этой букве изменить логин, чтобы он начинался на первую. Или уже сейчас можно изменить логин, чтобы он начинался на букву «А», если они ее уже прошли!
-2
Осиротевшие боты ищут новый приют? :) Стучатся, бедные, во все двери, предлагают пароли по словарю…
+5
Заметил, заметил, на наш сервер фряхи так и лезут, медленно переберают с разных сетей, уже поднадоело банить ипшники их.
+1
mail.pddsl.de
mail.carena-ci.com
огорчает наличие таких костов. говорит о том что даже провайдерские сервера не особо защищены
mail.carena-ci.com
огорчает наличие таких костов. говорит о том что даже провайдерские сервера не особо защищены
0
Вывод: пароли нужно начинать с буквы «z».
+1
UFO just landed and posted this here
UFO just landed and posted this here
кстати а как они перебирают? SSH, то? имен пользователей они не знаю и не могут знать, не уж то root по ssh ищут? или имена пользователей тоже перебирают, ну тогда года им врятли хватит…
-1
вы смотрели то логи?
0
виноват, каюсь :(
-1
UFO just landed and posted this here
логи показывают, что брутят с разных адресов по разным логинам и паролям. причем брутят в большом количестве.
0
UFO just landed and posted this here
Кстати это идея, повесить VPS и ждать улова…
0
Когда-то ставил. Ничего интересного, устанавливают скрипт, который сразу начинает слать спам. Причём всё автоматом делается, похоже.
+4
/*грустно*/
жаль
жаль
0
Но можно узнать с какого ip присылают новый спам и раскрутить цепочку :)
0
мысль /*полез клепать ханипот*/
0
У меня тоже самое на всех компах у которых открыт ssh наружу.
Мне кажется что запрет рута по ssh и не особо тривиальные логины (не user или dad) решают проблему.
Если кому надо, могу выложить километры логов :)
Мне кажется что запрет рута по ssh и не особо тривиальные логины (не user или dad) решают проблему.
Если кому надо, могу выложить километры логов :)
0
Восстание машин?
-1
Может кому пригодится. Для iptables:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s [TRUSTED_IP_IS_HERE] --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j SSHSCAN
-A SSHSCAN -m recent --set --name SSH
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j LOG --log-prefix «SSH SCAN blocked: „
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j DROP
-A SSHSCAN -j ACCEPT
и ботнеты идут гулять 5 минут после 3 неудачных попыток подбора пароля. По опыту они вообще оставляют свои попытки подбирать пароль после того, как ssh перестает их пускать.
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s [TRUSTED_IP_IS_HERE] --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j SSHSCAN
-A SSHSCAN -m recent --set --name SSH
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j LOG --log-prefix «SSH SCAN blocked: „
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j DROP
-A SSHSCAN -j ACCEPT
и ботнеты идут гулять 5 минут после 3 неудачных попыток подбора пароля. По опыту они вообще оставляют свои попытки подбирать пароль после того, как ssh перестает их пускать.
+8
* ботнеты = боты :)
0
для freebsd ваш вариант = установить sshit(порт /usr/ports/security/sshit) простой перл скрип который добавляет в блокировку фаерволом ип адрес после x попыток, на y секунд
0
статью читали внимательно? оба варианта не рабочие, потому что
— попыток (с одного IP) крайне мало (одна, две)
— эти средства не блокируют доступ постоянно а только на некоторое время (и это правильно) по этому когда с того же IP опять придет бот через 2 дня (неделю) то бан будет уже снят
надо собирать централизованно информацию с нескольких хостов (чем больше тем лучше) чтобы правильно оценить ситуацию. если не хотите использовать denyhosts, можно написать свой вариант с централизованным syslog сервером и распространением block list-ов на защищаемые сервера каким то способом (rsync)
еще вариант научить sshd проверять адрес клиента через dnsbl и вести соответствующие списки
— попыток (с одного IP) крайне мало (одна, две)
— эти средства не блокируют доступ постоянно а только на некоторое время (и это правильно) по этому когда с того же IP опять придет бот через 2 дня (неделю) то бан будет уже снят
надо собирать централизованно информацию с нескольких хостов (чем больше тем лучше) чтобы правильно оценить ситуацию. если не хотите использовать denyhosts, можно написать свой вариант с централизованным syslog сервером и распространением block list-ов на защищаемые сервера каким то способом (rsync)
еще вариант научить sshd проверять адрес клиента через dnsbl и вести соответствующие списки
0
первые признаки были замечены ещё в мае 2008 года.
или оценены и наблюдения опубликованы.
у себя с в логах некоторых машин с открытым SSH (обычно это не так, но случаи бывают разные) замечал такое безобразие еще в прошлом году
или речь идет о том что факт замедления а не банального распределенного брутфорса начали наблюдать в мае?
0
В общем, тем кто юзает несловарные пароли бояться нечего, я так понимаю. Так что все хорошо))
А это — сскорее форма наказания для нерадивых админов, чем реальная угроза.
А это — сскорее форма наказания для нерадивых админов, чем реальная угроза.
0
А сегодня вход с логинами на «p» и «o» зпрещен… не самая умная была мысль перебирать в алфавитном порядке…
0
— сменить порт ssh на не стандартный, если вдруг вы еще этого не сделали
— запретить доступ root-у через ssh или разрешить только ему авторизоваться только по ключу (PermitRootLogin without-password)
— поставить DenyHosts, написаный на python демон следящий за попытками подбора паролей и имеющая возможность обмениваться этой информацией с другими хостами
— запретить доступ root-у через ssh или разрешить только ему авторизоваться только по ключу (PermitRootLogin without-password)
— поставить DenyHosts, написаный на python демон следящий за попытками подбора паролей и имеющая возможность обмениваться этой информацией с другими хостами
+1
Как сменить сигнатуру sshd на OpenBSD-шную?
+1
Мы обрубили все попытки ботов просто перенеся нужные сервисы на другой порт. Все популярные программы поддерживают выбор альтернативного порта.
Логи SSH раньше были мегабайтными за день, а теперь пустуют… Причем выделенный сервер, нигде не светился…
Логи SSH раньше были мегабайтными за день, а теперь пустуют… Причем выделенный сервер, нигде не светился…
+1
Sign up to leave a comment.
Articles
Change theme settings
Ботнеты, участвующие в «медленном брутфорсе», стали умнее