Posted By: Bubrak () on 'CZunix'
Title: Re: bruteforce na sshd z rozdilnych IP
Date: Mon Nov 9 00:20:39 2009
Ahoj,
pouzivam to ssh jen ja. :-) Zkusim tu IP range nejprv a pak dalsi tipy.
Diky vsem.
Bub
> > > Ahoj,
> > > chci se zeptat jak mohu zamezit bf utoku na box, na kterem je povolene
> ssh
> > > odevsud, kteryzto utok probiha tak, ze kazde pripojeni je z jine IP
> (fake
> > > IP?) a po ruzne dlouhem intervalu (cca 30-60sec). SSH port jsem zmenil z
> > 22
> > > na 6xxxx ale nepomohlo to. Utok porad probiha.
> > > Diky
> > > Bubrak
> >
> > Hm, to je neprijemne. A taky dost podezrele, ze si te utocnik nasel na
> > vysokem
> > portu. Jestli to ve skutecnosti nemuze pusobit nejaky zlomyslnik z tveho
> > okoli, ktery o novem portu vi od tebe. Obvykle je vysoky port velmi ucinna
>
> > zbran. Patrne ses stal cilenou obeti.
>
> s tim souhlasim. Je hooodne podezrele, ze by ses stal cilem nejakeho
> distribuovaneho utoku jen tak, zvlast pote, co zmenis port ..
> Takze .. kolik lidi to pouziva? Bud za to muze nekdo z nich (umyslne a nebo
> i
> neumyslne! - kdyz muzou viry tahat info o ftp uctech z totalcmd, tak proc by
>
> nemohli z putty)
> to je nejpravdepodobnejsi varianta.
> Dalsi moznost je, ze po tobe fakt jdou ;) .. pak by ale museli po kazde
> zmene
> portu, provadet fullscan, coz by chtelo vypozorovat - kdyz bude z jedne IP,
> muzes to lehce zastavit, pokud by byl taky distribuovanej, tak ses asi v
> p...
>
> myslim si, ze v tom bude nejakej vir/trojan nekoho s pristupem
> pak je dobre ho lokalizovat a PC osetrit.
> Jinak bych to ja osobne resil prehodnocenim "potrebuji pristup odevsud",
> protoze to vetsinou neni pravda, jde o to, to lepe naformulovat a pak
> vymyslet jak zrealizovat (zmineny PK, omezeni na IP range CR apod...)
>
> Pavel
Kdo brzdi, ten ztraci.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
E-mail: bubrak@pinknet.cz ICQ: 9813416
HomePage: http://bubrak.musichall.cz
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-