[Flug] [Richiesta di aiuto] sotto attacco brute force

alessio chemeri alessio.chemeri@gmail.com
Dom 5 Giu 2011 01:31:37 CEST


ciao a tutti,
ho un server che da due giorni subisce un continuo attacco bruteforce
e onestamente mi sono rotto
le palle...

la provenienza del brute force e' cinese (dal guang-dong cioe' la
regione informatizzata direi..)

questo e' il server di viodeosorveglianza del bar sul quale avevo
appoggiato anche (per sfizio) un
server Teamspeak3 per usarlo con gli amici..

Ieri (alle 20) ho trovato nel server TS3 un tizio sconosciuto in un
canale di chat che si era creato,
sono entrato nel canale di chat e gli ho scritto che aveva 1 minuto
per spiegarmi chi era e perche'
non dovevo punirlo..

si e' staccato di corsa ...

entro in ssh, chiudo il server ts3 e controllo se qualcun'altro era
collegato in ssh.. nessuno..
guardo i log di auth e vedo trenate di tentativi da parte di un ip
(117.41.190.206) che vedo
essere cinese..
c'e' qualcosa di strano tutti i tentativi di auth sono sul root... mi
son ricordato che per passare
un file con il scp al root avevo temporaneamente (la settimana scorsa
cazzo!) abilitato
l'accesso ssh al root stesso... smemorato di merda che non sono altro,
ho subito tolto la
possibilita' al ssh di accettare root access..
chiuso il servizio inutile e faceto (TS3) vedo che era tornata la
calma... esco con gli amici
e la moglie ma qualcosa mi suona dentro..


ora ricontrollo e vedo che un altro stronzo cinese (58.248.249.58)
(http://whois.domaintools.com/58.248.249.58)
sta provando con un bruteforce alla ricerca di un utente reale..

[root@occhiodelbar log]# nmap -sS -vv 58.248.249.58

Starting Nmap 5.00 ( http://nmap.org ) at 2011-06-05 00:08 CDT
NSE: Loaded 0 scripts for scanning.
Initiating Ping Scan at 00:08
Scanning 58.248.249.58 [4 ports]
Completed Ping Scan at 00:08, 0.48s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 00:08
Completed Parallel DNS resolution of 1 host. at 00:09, 13.00s elapsed
Initiating SYN Stealth Scan at 00:09
Scanning 58.248.249.58 [1000 ports]
[...]
Interesting ports on 58.248.249.58:
Not shown: 984 closed ports
PORT     STATE    SERVICE
22/tcp   open     ssh
111/tcp  open     rpcbind
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
593/tcp  filtered http-rpc-epmap
1072/tcp open     unknown
1521/tcp open     oracle
1720/tcp filtered H.323/Q.931
1863/tcp open     msnp
2049/tcp open     nfs
4444/tcp filtered krb524
5190/tcp open     aol
5801/tcp open     vnc-http-1
5901/tcp open     vnc-1
6001/tcp open     X11:1

il loro e' ovviamente un server zombizzato.. e suppongo che sia
inutile avvisarli..
( vnc e x11.. zombizzato di brutto e adoperato da altrove)

--------------> e questa e' la richiesta n.1:
ora volevo tagliar via tutta la cina (tanto nessun cinese usava il
nostro server ts) dall'accesso a me, sapete darmi i range
da mettere nel iptables?


ma canide del signore.. possibile che anche un serverino mezza
cartuccia faccia cosi' gola a dei dementi?
e poi se per caso lo compromettono io lo spiano... quindi.. boh...
proprio un cazzaccio nulla da fare?

--------------> richiesta numero 2:
qualcuno di voi ha mai usato sshguard? basta a fermarli o li rallenta solamente?


Maggiori informazioni sulla lista flug