Dotaz na ssh bruteforce
Zbyněk Burget
zburget at burgnet.cz
Tue Jan 27 12:59:33 CET 2009
Nedavno jsem zde brecel nad tim, jak se v posledni dobe objevily
distribuovane bruteforce utoky, takze prijde jeden nebo dva pokusy z
jedne IP a pak dalsi az za par hodin. A byly toho plne logy.
Zkusil jsem na to jit od lesa a zda se, ze se to vyplatilo. Pouzival
jsem uz driv bruteblock ve spojeni s IPFW, proti kteremu jsou tyhle
utoky samozrejme imunni. Udelal jsem ale to, ze jsem si presmeroval
authlogy ze vsech serveru na router, protoze onen distribuovany utok
vypadal tak, ze dana IP adresa zautocila sice jen jednou nebo dvakrat na
jeden stroj, ale na vsechny sousedni IP prakticky soucasne. Diky tomu uz
bylo tech neuspesnych pokusu o prihlaseni vic a bruteblock opet zafungoval.
A aby to melo nejaky smysl - protoze dalsi utok se z dane IP objevil az
po nekolika hodinach, ustrihl jsem utocici IP ne na par minut (jak je to
defaultne), ale rovnou na cely tyden (chvili jsem premyslel nad tim, ze
ji ustrihnu rovnou na mesic :-) ).
Zacatek byl celkem drsny, za 24 hodin jsem mel zablokovanych cca 160 IP
adres a nocni security vypis z routeru byl jako roman na dlouhe zimni
vecery. Dnes, po mesici a pul, je realita takova, ze mam v tabulce
zablokovanych IP adres 12 zaznamu (za posledni tyden!!!) a nocni vypisy
authlogu jsou vlastne prazdne. Nevim, jestli soucasny mechanismus
blokovani odradil utocici servery nebo proste ty utoky obecne ustavaji.
Kazdopadne, ja jsem ted spokojeny a nijak dal bruteforce utoky nebudu
ani resit ani analyzovat. Nestoji mi to za to.
Zbynek
Jan Dusatko napsal(a):
> Ahoj,
> mam ponekud OT dotaz. Pro filtrovani bruteforce utoku pouzivam jak
> pam_af_tool, tak ruzne scripty. Ted premyslim nad zpusobem, jak pro
> spatny pokus o prihlaseni (napr na blokovane - root nebo neexistujici
> uzivatele - admin, administrator) udelat script, ktery mi bude
> ukladat hesla. Nevi nekdo o zpusobu, jak to provest bez vytvareni
> vlastniho PAM modulu ?
>
> Ptam se kvuli zvedavosti, zajimalo by mne jaka hesla se pouzivaji pri
> slovnikovych utocich ... aby se jim clovek vyhnul ;o)
>
> Honza
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list