Comments 101
Приходит «заказчик» к хацкеру и говорит:
«Кризис! — Нет денег! — Я могу платить на три четверти меньше...»

На что ему хацкер:
«— Ну, раз так — будем работать по новому методу — скорость меньше, — но эффективность та же! Идёт?»

:)
UFO landed and left these words here
UFO landed and left these words here
Сошедший с ума подросток-наркоман дрожащими руками целится в Лейн.
UFO landed and left these words here
UFO landed and left these words here
А это целенаправленная атака или просто накрывают сервера с открытыми портами(по ssh судя по логам ходят)
Надо просто юзать 2048-битные ключики, помимо текстовой авторизации.
как поможет 2048-битный ключ против перебора? вы вопрос то осознали или не в теме?:))

я поясню, при автоизации использовать не только пароль, но еще и открытый ключ ;) только с паролем авторизацию запретить.
а понятно. можно вообще только с консоли работать. или выключить от греха. :)
ну можно и спать на потолке, но использовать ключ сильно напряженным не считаю…
не считая того, что его надо где-то хранить. ну а если честно я согласен.
ключики на SSH это не только безопасность, но и удобство :)
яя себе putty/far(winscp) настраиваю на работу с конкретным ключиком и не парюсь по поводу ввода паролей :)
От случайной атаки спасёт, но если решат докопаться до отдельно взятого сервера — вероятней всего по ответам сервисов поймут что и где висит. Зафаерволиться надёжней.
Ну в статье и не пишут про конкретную атаку. А базовая защита от script-kiddie (перевешивание стандартных сервисов на нестандартные порты) даёт серьезную уверенность в том, что случайной серьезной атаки на сервер просто не будет.
Кстати, если перевесить ssh, на 22й порт повесить portsentry — вполне может помочь :)
Да. При попытке соединиться с 22м портом бот попадает в hosts.deny, соответственно проверить свою версию пароля у него возможности нет.
И как это помешает другому боту стукнуться в другой порт? Речь-то шла именно об этом.
Тогда уж проще держать руку на пульсе новостей, и оперативно менять пароль как только становится известны текущая позиция в словаре перебора.
а если закрыть ssh со всех айпи, только со своего открыть…

не всегда удобно. бывает нужно порулить черт знает откуда… или IP дома динамичский, как у меня.
поэтому для себя решаю проблему подъемом OpenVPN на нестандартном порту с авторизацией сертификатами (теперь пусть брутфорсят, ага). все порты снаружи закрываю кроме VPN и публичных сервисов (http, https, etc), а из внутренней сети могу творить все что угодно :)

Их бы палить по этому признаку и собирать в одну базу.
Сервис IsMyComputerPartOfBotnet.com, сообщающий, светился ли мой IP-адрес (и адреса из моей подсетки) в подобных атаках, был бы востребован :)
UFO landed and left these words here
дурацкая привычка использовать домен первого уровня как часть слова, ага :)
И чтобы, к примеру, гугл (или наверное для тех, у кого комп может быть в рабстве, это должны быть одноклассники какие-нить :) говорил, ваш ИП находится в базе ботов и отсылал на инструкцию по мерам, которые необходимо применить.
Вот только плохо будет, если сеть за НАТом, и в ней сидит с одной айпишника много людей, и каждый из них будет видеть это сообщение, а тот кто и вправду часть ботнета не пользуется гуглом/однокласниками или даже не понимает что такое IP и прочее. Но идея хорошая, поддерживаю.
Фуф, моего адреса в логах нет, я не зомби!

А вообще хорошо бы создать базу бот-логов где бы человек мог автоматически проверять свой адрес и выявлять нахождение бота на своей машине.
хм кажется настает время когда придется создавать интернет внутри интернета
>Также неясно, почему злоумышленники не трогают машины под OpenBSD.

гм ;) наверное потому, что в OpenBSD под дефолту запрещено всё, что не разрешено. А так же потому, что OpenBSD — это одна из немногих OS с минимальным количеством уязвимостей за всю историю сети ;)
дело не в самой OpenBSD а в админах, которые не станут использовать слабые пароли, если уж используют obsd ;)
UFO landed and left these words here
А что если изменить логин, так чтобы он начинался на последную букву альфавита. А перед тем как они будут подходить к этой букве изменить логин, чтобы он начинался на первую. Или уже сейчас можно изменить логин, чтобы он начинался на букву «А», если они ее уже прошли!
Написанно же, что уже дошли до буквы «о». Откуда бы иначе можно было бы сделать такое утверждение?!
Осиротевшие боты ищут новый приют? :) Стучатся, бедные, во все двери, предлагают пароли по словарю…
Заметил, заметил, на наш сервер фряхи так и лезут, медленно переберают с разных сетей, уже поднадоело банить ипшники их.
mail.pddsl.de
mail.carena-ci.com
огорчает наличие таких костов. говорит о том что даже провайдерские сервера не особо защищены
UFO landed and left these words here
это может спасти от одного взломщика, но когда тысячи их и у каждого по части словаря и действуют они не по цепочки а поочереди.
а еще лучше с Z или с! или какой нить другой экзотики !@#$%^* :)
Этот пароль в их словаре на пятой строчке. Сразу после 123456.
Ну да, ну да, ошибочка вышла. Не на пятой строчке. На шестой. :)
UFO landed and left these words here
UFO landed and left these words here
Вот теперь у меня его ещё меньше, так что извини, дал бы плюс, но сообщество мешает. Чтоб оно было здорово.
И ещё меньше! Всё же вы ржачные до невозможности.
Сидят, бдят, плюсомёт наготове держат. Кто тут сказал что-то? Минус, минус, минус.
кстати а как они перебирают? SSH, то? имен пользователей они не знаю и не могут знать, не уж то root по ssh ищут? или имена пользователей тоже перебирают, ну тогда года им врятли хватит…
UFO landed and left these words here
логи показывают, что брутят с разных адресов по разным логинам и паролям. причем брутят в большом количестве.
Я перевесил ssh со стандартного порта на другой. Сразу брутфорс прекратился. За год ни одной попытки. А до этого круглосуточно долбились.

На апач продолжают долбиться. Ищут стандартные дыры в популярных программах. Давно хочется honeypot поставить, да никак не соберусь.
UFO landed and left these words here
Когда-то ставил. Ничего интересного, устанавливают скрипт, который сразу начинает слать спам. Причём всё автоматом делается, похоже.
Но можно узнать с какого ip присылают новый спам и раскрутить цепочку :)
Можно и не мечтать… думаете у них нет обходных путей от волчьих ям несчастных «цру-шников»? ;-)
P.S. написал и подумал, что под «несчастными цру-шниками» я конечно же! имел в виду не вас (нас), а именно цру-шников которые 100% что пытаются так «их» словить…
У меня тоже самое на всех компах у которых открыт ssh наружу.

Мне кажется что запрет рута по ssh и не особо тривиальные логины (не user или dad) решают проблему.

Если кому надо, могу выложить километры логов :)
Может кому пригодится. Для iptables:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp -s [TRUSTED_IP_IS_HERE] --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j SSHSCAN
-A SSHSCAN -m recent --set --name SSH
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j LOG --log-prefix «SSH SCAN blocked: „
-A SSHSCAN -m recent --update --seconds 300 --hitcount 4 --name SSH -j DROP
-A SSHSCAN -j ACCEPT

и ботнеты идут гулять 5 минут после 3 неудачных попыток подбора пароля. По опыту они вообще оставляют свои попытки подбирать пароль после того, как ssh перестает их пускать.
для freebsd ваш вариант = установить sshit(порт /usr/ports/security/sshit) простой перл скрип который добавляет в блокировку фаерволом ип адрес после x попыток, на y секунд
статью читали внимательно? оба варианта не рабочие, потому что
— попыток (с одного IP) крайне мало (одна, две)
— эти средства не блокируют доступ постоянно а только на некоторое время (и это правильно) по этому когда с того же IP опять придет бот через 2 дня (неделю) то бан будет уже снят

надо собирать централизованно информацию с нескольких хостов (чем больше тем лучше) чтобы правильно оценить ситуацию. если не хотите использовать denyhosts, можно написать свой вариант с централизованным syslog сервером и распространением block list-ов на защищаемые сервера каким то способом (rsync)

еще вариант научить sshd проверять адрес клиента через dnsbl и вести соответствующие списки

первые признаки были замечены ещё в мае 2008 года.

или оценены и наблюдения опубликованы.
у себя с в логах некоторых машин с открытым SSH (обычно это не так, но случаи бывают разные) замечал такое безобразие еще в прошлом году

или речь идет о том что факт замедления а не банального распределенного брутфорса начали наблюдать в мае?
В общем, тем кто юзает несловарные пароли бояться нечего, я так понимаю. Так что все хорошо))

А это — сскорее форма наказания для нерадивых админов, чем реальная угроза.
А сегодня вход с логинами на «p» и «o» зпрещен… не самая умная была мысль перебирать в алфавитном порядке…
— сменить порт ssh на не стандартный, если вдруг вы еще этого не сделали
— запретить доступ root-у через ssh или разрешить только ему авторизоваться только по ключу (PermitRootLogin without-password)
— поставить DenyHosts, написаный на python демон следящий за попытками подбора паролей и имеющая возможность обмениваться этой информацией с другими хостами
Мы обрубили все попытки ботов просто перенеся нужные сервисы на другой порт. Все популярные программы поддерживают выбор альтернативного порта.

Логи SSH раньше были мегабайтными за день, а теперь пустуют… Причем выделенный сервер, нигде не светился…
Only those users with full accounts are able to leave comments. Log in, please.