Dotaz na ssh bruteforce

[Zbyněk Burget]

Radim Kolar napsal(a):
> za posledni rok se utoky na moje stroje staly vice sofistikovanejsi
> driv jedno IPcko zkouselo hodne hesel (asi 50) - to bylo snazsi
> bloknout. Ted zkusi jen 2 hesla a pak jde pryc a za chvili je novy
> pokus z uplne jineho IP. Takze blokovat podle IP dosavadnim naivnim
> zpusobem toho moc neprinasi. IP adres z kterych to zkouseji mam v
> logach za pul roku 30 tisic, prakticky se neopakuji, vetsina ma 1-2
> pokusu celkem na heslo za pul roku.


Jak jsem psal kousicek vyse - s timto jsem bojoval pred 1,5 mesicem
na blokovani velkeho zkouseni hesel z jednoho stroje jsem uspesne 
pouzival buteblock ve spojeni s IPFW - stacilo po 3 neuspesnych pokusech 
danou IP bloknout na 10 min a byl od ni klid. Jak ale zacaly ty 
distribuovane utoky, byl problem na svete.
Zjistil jsem, ze utocici stroj da 1 - 2 pokusy a jde na dalsi server (a 
jel rozsah IP jeden po druhym, takze vyzkousel prihlaseni na vsech 
strojich v rozsahu, jeden vedle druheho. Vyresil jsem to tak, ze jsem si 
presmeroval authlog z tech stroju z jedne podsite na router a opet 
pustil do bruteblock. A protoze se utocici IP vrati s dasim pokusem az 
po nekolika hodinach az dnech, zablokuju danou IP natvrdo na cely tyden.
Kdyz jsem to zavedl, mel jsem po dvou dnech zablokovanych 160 IP adres.
Dnes mam zablokovanych 12 IP adres a vypisy z authlogu prakticky prazdne.

Zbynek