[Flug] [Richiesta di aiuto] sotto attacco brute force
Tommaso Visconti
tommaso.visconti@gmail.com
Dom 5 Giu 2011 20:49:55 CEST
fail2ban puņ esserti utile. Utilizzando iptables chiude fuori per un po'
di tempo gli ip che provano il bruteforce
Il 05/06/11 02.18, alessio chemeri ha scritto:
> beh nel sonno ho trovato questo
>
> http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
>
> mi rispondo da solo almeno se scrivo cazzate qualcuno domani o domani l'altro
> avra' la ennesima prova che alle 2 e mezzo di notte e' bene dormire..
>
> notte a tutti..
>
> hacker cinesi esclusi ai quali invece auguro una dieta di cetrioli
> hispano-germanici
>
> Il 04 giugno 2011 18:31, alessio chemeri<alessio.chemeri@gmail.com> ha scritto:
>> ciao a tutti,
>> ho un server che da due giorni subisce un continuo attacco bruteforce
>> e onestamente mi sono rotto
>> le palle...
>>
>> la provenienza del brute force e' cinese (dal guang-dong cioe' la
>> regione informatizzata direi..)
>>
>> questo e' il server di viodeosorveglianza del bar sul quale avevo
>> appoggiato anche (per sfizio) un
>> server Teamspeak3 per usarlo con gli amici..
>>
>> Ieri (alle 20) ho trovato nel server TS3 un tizio sconosciuto in un
>> canale di chat che si era creato,
>> sono entrato nel canale di chat e gli ho scritto che aveva 1 minuto
>> per spiegarmi chi era e perche'
>> non dovevo punirlo..
>>
>> si e' staccato di corsa ...
>>
>> entro in ssh, chiudo il server ts3 e controllo se qualcun'altro era
>> collegato in ssh.. nessuno..
>> guardo i log di auth e vedo trenate di tentativi da parte di un ip
>> (117.41.190.206) che vedo
>> essere cinese..
>> c'e' qualcosa di strano tutti i tentativi di auth sono sul root... mi
>> son ricordato che per passare
>> un file con il scp al root avevo temporaneamente (la settimana scorsa
>> cazzo!) abilitato
>> l'accesso ssh al root stesso... smemorato di merda che non sono altro,
>> ho subito tolto la
>> possibilita' al ssh di accettare root access..
>> chiuso il servizio inutile e faceto (TS3) vedo che era tornata la
>> calma... esco con gli amici
>> e la moglie ma qualcosa mi suona dentro..
>>
>>
>> ora ricontrollo e vedo che un altro stronzo cinese (58.248.249.58)
>> (http://whois.domaintools.com/58.248.249.58)
>> sta provando con un bruteforce alla ricerca di un utente reale..
>>
>> [root@occhiodelbar log]# nmap -sS -vv 58.248.249.58
>>
>> Starting Nmap 5.00 ( http://nmap.org ) at 2011-06-05 00:08 CDT
>> NSE: Loaded 0 scripts for scanning.
>> Initiating Ping Scan at 00:08
>> Scanning 58.248.249.58 [4 ports]
>> Completed Ping Scan at 00:08, 0.48s elapsed (1 total hosts)
>> Initiating Parallel DNS resolution of 1 host. at 00:08
>> Completed Parallel DNS resolution of 1 host. at 00:09, 13.00s elapsed
>> Initiating SYN Stealth Scan at 00:09
>> Scanning 58.248.249.58 [1000 ports]
>> [...]
>> Interesting ports on 58.248.249.58:
>> Not shown: 984 closed ports
>> PORT STATE SERVICE
>> 22/tcp open ssh
>> 111/tcp open rpcbind
>> 135/tcp filtered msrpc
>> 139/tcp filtered netbios-ssn
>> 445/tcp filtered microsoft-ds
>> 593/tcp filtered http-rpc-epmap
>> 1072/tcp open unknown
>> 1521/tcp open oracle
>> 1720/tcp filtered H.323/Q.931
>> 1863/tcp open msnp
>> 2049/tcp open nfs
>> 4444/tcp filtered krb524
>> 5190/tcp open aol
>> 5801/tcp open vnc-http-1
>> 5901/tcp open vnc-1
>> 6001/tcp open X11:1
>>
>> il loro e' ovviamente un server zombizzato.. e suppongo che sia
>> inutile avvisarli..
>> ( vnc e x11.. zombizzato di brutto e adoperato da altrove)
>>
>> --------------> e questa e' la richiesta n.1:
>> ora volevo tagliar via tutta la cina (tanto nessun cinese usava il
>> nostro server ts) dall'accesso a me, sapete darmi i range
>> da mettere nel iptables?
>>
>>
>> ma canide del signore.. possibile che anche un serverino mezza
>> cartuccia faccia cosi' gola a dei dementi?
>> e poi se per caso lo compromettono io lo spiano... quindi.. boh...
>> proprio un cazzaccio nulla da fare?
>>
>> --------------> richiesta numero 2:
>> qualcuno di voi ha mai usato sshguard? basta a fermarli o li rallenta solamente?
>>
> _______________________________________________
> flug mailing list
> flug@lists.linux.it
> http://lists.linux.it/listinfo/flug
Maggiori informazioni sulla lista
flug