[RELug] ssh bruteforce e prevenzione
Liga
alessioligabue@gmail.com
Gio 10 Dic 2009 11:12:18 CET
> Ho seguito il thread e stamattina ho fatto una
> mini ricerca, se ti puo` interessare:
> http://www.linuxdynasty.org/ssh-blocking-how-to-using-iptables.html
> http://www.debian-administration.org/articles/187
>
Ringrazio tutti per i link che a dire la verità non sono riuscito ancora
a studiarmi approfonditamente, molto interessante la patch con sleep ma
dovrei patchare e ricompilare ogni volta openssh (a meno che non abbia
capito male) e anche i link.
cmq vorrei mettere in luce che il vero problema è che gli attacchi
arrivano da uno sterminato n° di host (una botnet probabilmente) e
contano quanti tentativi servono per essere bloccati, dopo di che
cambiano host ripetendo i tentativi per una o due volte ogni host e
continuando i tentativi a dizionario.
questi sono una parte degli host dai miei log:
Authentication failure for illegal user cyrus from 80.169.105.159 :
1 Time(s)
Authentication failure for illegal user cyrus from 83.211.160.211 :
1 Time(s)
Authentication failure for illegal user cyrus from 84.241.149.3 : 1
Time(s)
Authentication failure for illegal user d from 82.202.96.34 : 1 Time(s)
Authentication failure for illegal user daily from 148.244.228.152 :
1 Time(s)
Authentication failure for illegal user daisuke from 65.114.92.158 :
1 Time(s)
Maggiori informazioni sulla lista
RELug