Dotaz na ssh bruteforce

Jan Dusatko jan at dusatko.org
Mon Jan 26 12:51:07 CET 2009


> 	hesla ze slovniku? root/root, root/123456, root/admin,
> root/password, atd? Nerozlisis to, jestli nekdo neudelal preklep ve
> svym
> loginu, takze zalohujes jeho spravny heslo, ktery pouziva i jinde, nebo
> omylem pouzije existujici login ale pro jiny stroj, a opet spravne
> heslo,
> nebo nekdo pouzije existujici heslo pro roota, protoze si neuvedomi, ze
> root
> pres SSH defaultne nejde, atd. Kdyz se ti ten soubor nahodou dostane do
> zaloh, bude zasifrovany? Co kdyz ten disk das jinam, urcite se k tomu
> logu
> nikdo nedostane? Apod.
> 
> 	to co chces delat je podle me velmi nestastny, pokud opravdu
> presne
> nevic co delas a nemas k tomu dost dobry duvody. Nemyslim ze uvedeny
> duvod
> je ten dobrej. Samozrejme, je to na tobe.

Jedna se mi o modul nebo script, ktery je mozny vlozit do pam.d/sshd
Vzhledem k tomu, ze se nikde neprihlasuji jako root, od toho je sudo,
tak mne to az tak netrapi. To ze takovy log musi byt hlidany 
a pravidelne "odsypavany" je druha vec. Sifrovani techto zalezitosti
je diskutabilni. Dle meho neme smysl z provoznich duvodu, z hlediska
bezpecnosti samozrejmne ano.
Samozrejmne, existujicim uzivatelum s povolenym prihlasenim na ssh 
se hesla zaznamenavat nesmi. Ale par zakladnich jako je root/admin
/administrator/supervisor a jini, kteri se v systemu nevyskytuji
mne zajimaji. Jedna se mi o cetnost, zda se jedna skutecne o brute
force utok nebo utoky s predem pripravenym slovnikem, dale zdroje
ip adres a cetnost utoku z techto adres, jejich identifikace
a nejaka podrobnejsi analyza (jsou zaroven spambooty, nebo jenom
nejaka sit spatne spravovanych serveru, je mozne provest korelaci
se snortem na dalsi utoky ....)
Tento zdroj beru spise pro teoretickou analyzu, zajima mne zdroj
utoku (kompromitovany server/stroj postaveny pouze na tyto utoky?)
a jeho spojeni s dalsimi moznymi metodami.
1) pouzivaji botnety nejake specialni metody pro další sireni ?
(propagace pomoci automatizovanych exploitu atd.)
2) pouzivaji se botnety i pro odesilani spamu? Je mozne omezit
spam zablokovanim IP adres s neuspesnymi prihlasenimi
3) pouzivaji se botnety i pro dalsi aktivity? Jake ?
4) jaka je cetnost vyskytu hesel? Maji nejaky vztah k danemu loginu?
5) jake loginy se pouzivaji nejcasteji to ukazuje sshd log
6) jake IP adresy to ukazuje sshd log také.

Takovyto modul by zaroven mohl fungovat i pro passwd history. To uz
je znacne diskutabilni zalezitost, osobne tomuto moc naklonen nejsem.

Honza




More information about the Users-l mailing list