Dotaz na ssh bruteforce

Zbyněk Burget zburget at burgnet.cz
Tue Jan 27 12:59:33 CET 2009


Nedavno jsem zde brecel nad tim, jak se v posledni dobe objevily 
distribuovane bruteforce utoky, takze prijde jeden nebo dva pokusy z 
jedne IP a pak dalsi az za par hodin. A byly toho plne logy.
Zkusil jsem na to jit od lesa a zda se, ze se to vyplatilo. Pouzival 
jsem uz driv bruteblock ve spojeni s IPFW, proti kteremu jsou tyhle 
utoky samozrejme imunni. Udelal jsem ale to, ze jsem si presmeroval 
authlogy ze vsech serveru na router, protoze onen distribuovany utok 
vypadal tak, ze dana IP adresa zautocila sice jen jednou nebo dvakrat na 
jeden stroj, ale na vsechny sousedni IP prakticky soucasne. Diky tomu uz 
bylo tech neuspesnych pokusu o prihlaseni vic a bruteblock opet zafungoval.
A aby to melo nejaky smysl - protoze dalsi utok se z dane IP objevil az 
po nekolika hodinach, ustrihl jsem utocici IP ne na par minut (jak je to 
defaultne), ale rovnou na cely tyden (chvili jsem premyslel nad tim, ze 
ji ustrihnu rovnou na mesic :-) ).
Zacatek byl celkem drsny, za 24 hodin jsem mel zablokovanych cca 160 IP 
adres a nocni security vypis z routeru byl jako roman na dlouhe zimni 
vecery. Dnes, po mesici a pul, je realita takova, ze mam v tabulce 
zablokovanych IP adres 12 zaznamu (za posledni tyden!!!) a nocni vypisy 
authlogu jsou vlastne prazdne. Nevim, jestli soucasny mechanismus 
blokovani odradil utocici servery nebo proste ty utoky obecne ustavaji. 
Kazdopadne, ja jsem ted spokojeny a nijak dal bruteforce utoky nebudu 
ani resit ani analyzovat. Nestoji mi to za to.

Zbynek

Jan Dusatko napsal(a):
> Ahoj,
> mam ponekud OT dotaz. Pro filtrovani bruteforce utoku pouzivam jak
> pam_af_tool, tak ruzne scripty. Ted premyslim nad zpusobem, jak pro
> spatny pokus o prihlaseni (napr na blokovane - root nebo neexistujici
> uzivatele - admin, administrator) udelat script, ktery mi bude 
> ukladat hesla. Nevi nekdo o zpusobu, jak to provest bez vytvareni 
> vlastniho PAM modulu ?
> 
> Ptam se kvuli zvedavosti, zajimalo by mne jaka hesla se pouzivaji pri
> slovnikovych utocich ... aby se jim clovek vyhnul ;o)
> 
> Honza
> 
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l



More information about the Users-l mailing list