[Flug] [Richiesta di aiuto] sotto attacco brute force

alessio chemeri alessio.chemeri@gmail.com
Dom 5 Giu 2011 02:18:29 CEST


beh nel sonno ho trovato questo

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

mi rispondo da solo almeno se scrivo cazzate qualcuno domani o domani l'altro
avra' la ennesima prova che alle 2 e mezzo di notte e' bene dormire..

notte a tutti..

hacker cinesi esclusi ai quali invece auguro una dieta di cetrioli
hispano-germanici

Il 04 giugno 2011 18:31, alessio chemeri <alessio.chemeri@gmail.com> ha scritto:
> ciao a tutti,
> ho un server che da due giorni subisce un continuo attacco bruteforce
> e onestamente mi sono rotto
> le palle...
>
> la provenienza del brute force e' cinese (dal guang-dong cioe' la
> regione informatizzata direi..)
>
> questo e' il server di viodeosorveglianza del bar sul quale avevo
> appoggiato anche (per sfizio) un
> server Teamspeak3 per usarlo con gli amici..
>
> Ieri (alle 20) ho trovato nel server TS3 un tizio sconosciuto in un
> canale di chat che si era creato,
> sono entrato nel canale di chat e gli ho scritto che aveva 1 minuto
> per spiegarmi chi era e perche'
> non dovevo punirlo..
>
> si e' staccato di corsa ...
>
> entro in ssh, chiudo il server ts3 e controllo se qualcun'altro era
> collegato in ssh.. nessuno..
> guardo i log di auth e vedo trenate di tentativi da parte di un ip
> (117.41.190.206) che vedo
> essere cinese..
> c'e' qualcosa di strano tutti i tentativi di auth sono sul root... mi
> son ricordato che per passare
> un file con il scp al root avevo temporaneamente (la settimana scorsa
> cazzo!) abilitato
> l'accesso ssh al root stesso... smemorato di merda che non sono altro,
> ho subito tolto la
> possibilita' al ssh di accettare root access..
> chiuso il servizio inutile e faceto (TS3) vedo che era tornata la
> calma... esco con gli amici
> e la moglie ma qualcosa mi suona dentro..
>
>
> ora ricontrollo e vedo che un altro stronzo cinese (58.248.249.58)
> (http://whois.domaintools.com/58.248.249.58)
> sta provando con un bruteforce alla ricerca di un utente reale..
>
> [root@occhiodelbar log]# nmap -sS -vv 58.248.249.58
>
> Starting Nmap 5.00 ( http://nmap.org ) at 2011-06-05 00:08 CDT
> NSE: Loaded 0 scripts for scanning.
> Initiating Ping Scan at 00:08
> Scanning 58.248.249.58 [4 ports]
> Completed Ping Scan at 00:08, 0.48s elapsed (1 total hosts)
> Initiating Parallel DNS resolution of 1 host. at 00:08
> Completed Parallel DNS resolution of 1 host. at 00:09, 13.00s elapsed
> Initiating SYN Stealth Scan at 00:09
> Scanning 58.248.249.58 [1000 ports]
> [...]
> Interesting ports on 58.248.249.58:
> Not shown: 984 closed ports
> PORT     STATE    SERVICE
> 22/tcp   open     ssh
> 111/tcp  open     rpcbind
> 135/tcp  filtered msrpc
> 139/tcp  filtered netbios-ssn
> 445/tcp  filtered microsoft-ds
> 593/tcp  filtered http-rpc-epmap
> 1072/tcp open     unknown
> 1521/tcp open     oracle
> 1720/tcp filtered H.323/Q.931
> 1863/tcp open     msnp
> 2049/tcp open     nfs
> 4444/tcp filtered krb524
> 5190/tcp open     aol
> 5801/tcp open     vnc-http-1
> 5901/tcp open     vnc-1
> 6001/tcp open     X11:1
>
> il loro e' ovviamente un server zombizzato.. e suppongo che sia
> inutile avvisarli..
> ( vnc e x11.. zombizzato di brutto e adoperato da altrove)
>
> --------------> e questa e' la richiesta n.1:
> ora volevo tagliar via tutta la cina (tanto nessun cinese usava il
> nostro server ts) dall'accesso a me, sapete darmi i range
> da mettere nel iptables?
>
>
> ma canide del signore.. possibile che anche un serverino mezza
> cartuccia faccia cosi' gola a dei dementi?
> e poi se per caso lo compromettono io lo spiano... quindi.. boh...
> proprio un cazzaccio nulla da fare?
>
> --------------> richiesta numero 2:
> qualcuno di voi ha mai usato sshguard? basta a fermarli o li rallenta solamente?
>


Maggiori informazioni sulla lista flug