Posted By: Bubrak () on 'CZunix' Title: Re: bruteforce na sshd z rozdilnych IP Date: Mon Nov 9 00:20:39 2009 Ahoj, pouzivam to ssh jen ja. :-) Zkusim tu IP range nejprv a pak dalsi tipy. Diky vsem. Bub > > > Ahoj, > > > chci se zeptat jak mohu zamezit bf utoku na box, na kterem je povolene > ssh > > > odevsud, kteryzto utok probiha tak, ze kazde pripojeni je z jine IP > (fake > > > IP?) a po ruzne dlouhem intervalu (cca 30-60sec). SSH port jsem zmenil z > > 22 > > > na 6xxxx ale nepomohlo to. Utok porad probiha. > > > Diky > > > Bubrak > > > > Hm, to je neprijemne. A taky dost podezrele, ze si te utocnik nasel na > > vysokem > > portu. Jestli to ve skutecnosti nemuze pusobit nejaky zlomyslnik z tveho > > okoli, ktery o novem portu vi od tebe. Obvykle je vysoky port velmi ucinna > > > zbran. Patrne ses stal cilenou obeti. > > s tim souhlasim. Je hooodne podezrele, ze by ses stal cilem nejakeho > distribuovaneho utoku jen tak, zvlast pote, co zmenis port .. > Takze .. kolik lidi to pouziva? Bud za to muze nekdo z nich (umyslne a nebo > i > neumyslne! - kdyz muzou viry tahat info o ftp uctech z totalcmd, tak proc by > > nemohli z putty) > to je nejpravdepodobnejsi varianta. > Dalsi moznost je, ze po tobe fakt jdou ;) .. pak by ale museli po kazde > zmene > portu, provadet fullscan, coz by chtelo vypozorovat - kdyz bude z jedne IP, > muzes to lehce zastavit, pokud by byl taky distribuovanej, tak ses asi v > p... > > myslim si, ze v tom bude nejakej vir/trojan nekoho s pristupem > pak je dobre ho lokalizovat a PC osetrit. > Jinak bych to ja osobne resil prehodnocenim "potrebuji pristup odevsud", > protoze to vetsinou neni pravda, jde o to, to lepe naformulovat a pak > vymyslet jak zrealizovat (zmineny PK, omezeni na IP range CR apod...) > > Pavel Kdo brzdi, ten ztraci. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- E-mail: bubrak@pinknet.cz ICQ: 9813416 HomePage: http://bubrak.musichall.cz -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-