Posted By: Bubrak () on 'CZunix'
Title:     Re: bruteforce na sshd z rozdilnych IP
Date:      Mon Nov  9 00:20:39 2009

Ahoj,

pouzivam to ssh jen ja. :-) Zkusim tu IP range nejprv a pak dalsi tipy.

Diky vsem.
Bub


> > > Ahoj,
> > > chci se zeptat jak mohu zamezit bf utoku na box, na kterem je povolene
> ssh
> > > odevsud, kteryzto utok probiha tak, ze kazde pripojeni je z jine IP
> (fake 
> > > IP?) a po ruzne dlouhem intervalu (cca 30-60sec). SSH port jsem zmenil z
> > 22 
> > > na 6xxxx ale nepomohlo to. Utok porad probiha.
> > > Diky
> > > Bubrak
> > 
> > Hm, to je neprijemne. A taky dost podezrele, ze si te utocnik nasel na
> > vysokem 
> > portu. Jestli to ve skutecnosti nemuze pusobit nejaky zlomyslnik z tveho 
> > okoli, ktery o novem portu vi od tebe. Obvykle je vysoky port velmi ucinna
> 
> > zbran. Patrne ses stal cilenou obeti.
> 
> s tim souhlasim. Je hooodne podezrele, ze by ses stal cilem nejakeho 
> distribuovaneho utoku jen tak, zvlast pote, co zmenis port ..
> Takze .. kolik lidi to pouziva? Bud za to muze nekdo z nich (umyslne a nebo
> i 
> neumyslne! - kdyz muzou viry tahat info o ftp uctech z totalcmd, tak proc by
> 
> nemohli z putty)
> to je nejpravdepodobnejsi varianta.
> Dalsi moznost je, ze po tobe fakt jdou ;) .. pak by ale museli po kazde
> zmene 
> portu, provadet fullscan, coz by chtelo vypozorovat - kdyz bude z jedne IP, 
> muzes to lehce zastavit, pokud by byl taky distribuovanej, tak ses asi v
> p...
> 
> myslim si, ze v tom bude nejakej vir/trojan nekoho s pristupem
> pak je dobre ho lokalizovat a PC osetrit. 
> Jinak bych to ja osobne resil prehodnocenim "potrebuji pristup odevsud", 
> protoze to vetsinou neni pravda, jde o to, to lepe naformulovat a pak 
> vymyslet jak zrealizovat (zmineny PK, omezeni na IP range CR apod...)
> 
> Pavel
 
                                            Kdo brzdi, ten ztraci.
   -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-     
       E-mail: bubrak@pinknet.cz                      ICQ: 9813416            
     HomePage: http://bubrak.musichall.cz
   -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
 

Search the boards