<p>A Tuttoggi nessun tipo di attacco , ho tagliato fuori con iptable mezza asia, ho tirato giu il servizio debole (teamspeak) e sto cercando di capire se e' bastato... ovviamente se sono diventato un banco di prova per qualche testaccia di guano allora non bastera' a farli desistere.. suppongo che il fail2ban Che credo di aver usato in passato ma non ricordavo sia un deterrente minimo da adottare.. grazie del supporto a tutti, vi tengo informati..ah sulle pasw non mettomai psw facili ma il problema e' che se non hai un minimo di ids e se non ti accorgi che stanno provando un bruteforce stai solo rimandando il dramma...</p>
<p>Il giorno 05/giu/2011 20.50, "Tommaso Visconti" <<a href="mailto:tommaso.visconti@gmail.com">tommaso.visconti@gmail.com</a>> ha scritto:<br type="attribution">> fail2ban può esserti utile. Utilizzando iptables chiude fuori per un po' <br>
> di tempo gli ip che provano il bruteforce<br>> <br>> <br>> Il 05/06/11 02.18, alessio chemeri ha scritto:<br>>> beh nel sonno ho trovato questo<br>>><br>>> <a href="http://www.cyberciti.biz/faq/block-entier-country-using-iptables/">http://www.cyberciti.biz/faq/block-entier-country-using-iptables/</a><br>
>><br>>> mi rispondo da solo almeno se scrivo cazzate qualcuno domani o domani l'altro<br>>> avra' la ennesima prova che alle 2 e mezzo di notte e' bene dormire..<br>>><br>>> notte a tutti..<br>
>><br>>> hacker cinesi esclusi ai quali invece auguro una dieta di cetrioli<br>>> hispano-germanici<br>>><br>>> Il 04 giugno 2011 18:31, alessio chemeri<<a href="mailto:alessio.chemeri@gmail.com">alessio.chemeri@gmail.com</a>> ha scritto:<br>
>>> ciao a tutti,<br>>>> ho un server che da due giorni subisce un continuo attacco bruteforce<br>>>> e onestamente mi sono rotto<br>>>> le palle...<br>>>><br>>>> la provenienza del brute force e' cinese (dal guang-dong cioe' la<br>
>>> regione informatizzata direi..)<br>>>><br>>>> questo e' il server di viodeosorveglianza del bar sul quale avevo<br>>>> appoggiato anche (per sfizio) un<br>>>> server Teamspeak3 per usarlo con gli amici..<br>
>>><br>>>> Ieri (alle 20) ho trovato nel server TS3 un tizio sconosciuto in un<br>>>> canale di chat che si era creato,<br>>>> sono entrato nel canale di chat e gli ho scritto che aveva 1 minuto<br>
>>> per spiegarmi chi era e perche'<br>>>> non dovevo punirlo..<br>>>><br>>>> si e' staccato di corsa ...<br>>>><br>>>> entro in ssh, chiudo il server ts3 e controllo se qualcun'altro era<br>
>>> collegato in ssh.. nessuno..<br>>>> guardo i log di auth e vedo trenate di tentativi da parte di un ip<br>>>> (117.41.190.206) che vedo<br>>>> essere cinese..<br>>>> c'e' qualcosa di strano tutti i tentativi di auth sono sul root... mi<br>
>>> son ricordato che per passare<br>>>> un file con il scp al root avevo temporaneamente (la settimana scorsa<br>>>> cazzo!) abilitato<br>>>> l'accesso ssh al root stesso... smemorato di merda che non sono altro,<br>
>>> ho subito tolto la<br>>>> possibilita' al ssh di accettare root access..<br>>>> chiuso il servizio inutile e faceto (TS3) vedo che era tornata la<br>>>> calma... esco con gli amici<br>
>>> e la moglie ma qualcosa mi suona dentro..<br>>>><br>>>><br>>>> ora ricontrollo e vedo che un altro stronzo cinese (58.248.249.58)<br>>>> (<a href="http://whois.domaintools.com/58.248.249.58">http://whois.domaintools.com/58.248.249.58</a>)<br>
>>> sta provando con un bruteforce alla ricerca di un utente reale..<br>>>><br>>>> [root@occhiodelbar log]# nmap -sS -vv 58.248.249.58<br>>>><br>>>> Starting Nmap 5.00 ( <a href="http://nmap.org">http://nmap.org</a> ) at 2011-06-05 00:08 CDT<br>
>>> NSE: Loaded 0 scripts for scanning.<br>>>> Initiating Ping Scan at 00:08<br>>>> Scanning 58.248.249.58 [4 ports]<br>>>> Completed Ping Scan at 00:08, 0.48s elapsed (1 total hosts)<br>
>>> Initiating Parallel DNS resolution of 1 host. at 00:08<br>>>> Completed Parallel DNS resolution of 1 host. at 00:09, 13.00s elapsed<br>>>> Initiating SYN Stealth Scan at 00:09<br>>>> Scanning 58.248.249.58 [1000 ports]<br>
>>> [...]<br>>>> Interesting ports on <a href="http://58.248.249.58">58.248.249.58</a>:<br>>>> Not shown: 984 closed ports<br>>>> PORT STATE SERVICE<br>>>> 22/tcp open ssh<br>
>>> 111/tcp open rpcbind<br>>>> 135/tcp filtered msrpc<br>>>> 139/tcp filtered netbios-ssn<br>>>> 445/tcp filtered microsoft-ds<br>>>> 593/tcp filtered http-rpc-epmap<br>
>>> 1072/tcp open unknown<br>>>> 1521/tcp open oracle<br>>>> 1720/tcp filtered H.323/Q.931<br>>>> 1863/tcp open msnp<br>>>> 2049/tcp open nfs<br>>>> 4444/tcp filtered krb524<br>
>>> 5190/tcp open aol<br>>>> 5801/tcp open vnc-http-1<br>>>> 5901/tcp open vnc-1<br>>>> 6001/tcp open X11:1<br>>>><br>>>> il loro e' ovviamente un server zombizzato.. e suppongo che sia<br>
>>> inutile avvisarli..<br>>>> ( vnc e x11.. zombizzato di brutto e adoperato da altrove)<br>>>><br>>>> --------------> e questa e' la richiesta n.1:<br>>>> ora volevo tagliar via tutta la cina (tanto nessun cinese usava il<br>
>>> nostro server ts) dall'accesso a me, sapete darmi i range<br>>>> da mettere nel iptables?<br>>>><br>>>><br>>>> ma canide del signore.. possibile che anche un serverino mezza<br>
>>> cartuccia faccia cosi' gola a dei dementi?<br>>>> e poi se per caso lo compromettono io lo spiano... quindi.. boh...<br>>>> proprio un cazzaccio nulla da fare?<br>>>><br>>>> --------------> richiesta numero 2:<br>
>>> qualcuno di voi ha mai usato sshguard? basta a fermarli o li rallenta solamente?<br>>>><br>>> _______________________________________________<br>>> flug mailing list<br>>> <a href="mailto:flug@lists.linux.it">flug@lists.linux.it</a><br>
>> <a href="http://lists.linux.it/listinfo/flug">http://lists.linux.it/listinfo/flug</a><br>> <br>> _______________________________________________<br>> flug mailing list<br>> <a href="mailto:flug@lists.linux.it">flug@lists.linux.it</a><br>
> <a href="http://lists.linux.it/listinfo/flug">http://lists.linux.it/listinfo/flug</a><br></p>