Dotaz na ssh bruteforce

Jan Dusatko jan at dusatko.org
Wed Jan 28 12:33:40 CET 2009


> >> Nestaci potom jenom pocet spojeni z dane IP proste pocitat?
> >> Nebo Ti jde o to, odlisit jednotlive druhy utoku ("chytre", "script
> >> kiddies",...)?
> >> Nechapu, jak to souvisi s ukladanim pouzitych hesel.
> >
> > Je to jenom jedna analyza nad dalsim souborem dat.
> > O sber dat o urcitych utocich se stara sonda, pro další potrebuji
> > hlavne analyzu na stroji, tedy kombinace NIDS a HIDS. Je to jen hra,
> > zatim bez nejakeho cile. Jsem zvedavy, jaky je vysledek, jestli
> pomuze
> > napriklad blokovat spam servery a tak se branit utokum na ssh a vice
> > versa,
> > nebo jestli botnety jsou jednoucelove. Protoze SSH neni jedina
> sluzba,
> > ktera je ohrozovana.
> 
> Aha, tak to by mohlo byt zajimavy. Nezna nekdo nejaky existujici
> SW, ktery by se o tohle staral (neco komplexnejsiho ve stylu
> OpenNMS, snort apod.)?
> 
> Me by docela zajimalo, jestli blokovani per IP ma vubec smysl.
> Kdybych ja psal skripty pro botnet, tak bych nechal utocit nahodny
> bot na nahodny cil, aby se IP co nejvic stridaly.
> 
> Taky by tohle Tvoje zkoumani mohlo vest k zaverum, jestli je castejsi
> pouziti "out of the box" botnetu (ala
> http://en.wikipedia.org/wiki/Srizbi_botnet
>   apod.)
> nebo upravenych.
> 
> Kazdopadne jestli budes mit nejaka zjisteni, tak se ozvi, fakt
> by me to zajimalo.
> 
> Mirek

Jedno zjisteni mam uz ted. Mimo pokusu o SSH spojeni se obcas objevuje
bruteforce i na nasledujici sluzby:
FTP
SSH
Telnet (zatím jeden "balik" asi 50 pokusu, chytil ho jen snort)
SMTP (napr. SASL Login ...)
POP3
IMAP
MYSQL
...

Dalo by se pokracovat. Kazdopadne otazkou je jak ucinne branit podobnym
pokusum a jak jsou spolu svazane. Zatim sbiram data z toho co mam a nemel
jsem cas delat nejake vztahy. Ale driv nebo pozdeji to budu muset udelat.
Ten navrh s dropnutim spojeni neni spatny, uz to na par mistech testuji ;o)

Honza




More information about the Users-l mailing list