[Flug] [Richiesta di aiuto] sotto attacco brute force

alessio chemeri alessio.chemeri@gmail.com
Dom 5 Giu 2011 21:10:47 CEST


A Tuttoggi nessun tipo di attacco , ho tagliato fuori con iptable mezza
asia, ho tirato giu il servizio debole (teamspeak) e sto cercando di capire
se e' bastato... ovviamente se sono diventato un banco di prova per qualche
testaccia di guano allora non bastera' a farli desistere.. suppongo che il
fail2ban Che credo di aver usato in passato ma non ricordavo sia un
deterrente minimo da adottare.. grazie del supporto a tutti, vi tengo
informati..ah sulle pasw non mettomai psw facili ma il problema e' che se
non hai un minimo di ids e se non ti accorgi che stanno provando un
bruteforce stai solo rimandando il dramma...

Il giorno 05/giu/2011 20.50, "Tommaso Visconti" <tommaso.visconti@gmail.com>
ha scritto:
> fail2ban puņ esserti utile. Utilizzando iptables chiude fuori per un po'
> di tempo gli ip che provano il bruteforce
>
>
> Il 05/06/11 02.18, alessio chemeri ha scritto:
>> beh nel sonno ho trovato questo
>>
>> http://www.cyberciti.biz/faq/block-entier-country-using-iptables/
>>
>> mi rispondo da solo almeno se scrivo cazzate qualcuno domani o domani
l'altro
>> avra' la ennesima prova che alle 2 e mezzo di notte e' bene dormire..
>>
>> notte a tutti..
>>
>> hacker cinesi esclusi ai quali invece auguro una dieta di cetrioli
>> hispano-germanici
>>
>> Il 04 giugno 2011 18:31, alessio chemeri<alessio.chemeri@gmail.com> ha
scritto:
>>> ciao a tutti,
>>> ho un server che da due giorni subisce un continuo attacco bruteforce
>>> e onestamente mi sono rotto
>>> le palle...
>>>
>>> la provenienza del brute force e' cinese (dal guang-dong cioe' la
>>> regione informatizzata direi..)
>>>
>>> questo e' il server di viodeosorveglianza del bar sul quale avevo
>>> appoggiato anche (per sfizio) un
>>> server Teamspeak3 per usarlo con gli amici..
>>>
>>> Ieri (alle 20) ho trovato nel server TS3 un tizio sconosciuto in un
>>> canale di chat che si era creato,
>>> sono entrato nel canale di chat e gli ho scritto che aveva 1 minuto
>>> per spiegarmi chi era e perche'
>>> non dovevo punirlo..
>>>
>>> si e' staccato di corsa ...
>>>
>>> entro in ssh, chiudo il server ts3 e controllo se qualcun'altro era
>>> collegato in ssh.. nessuno..
>>> guardo i log di auth e vedo trenate di tentativi da parte di un ip
>>> (117.41.190.206) che vedo
>>> essere cinese..
>>> c'e' qualcosa di strano tutti i tentativi di auth sono sul root... mi
>>> son ricordato che per passare
>>> un file con il scp al root avevo temporaneamente (la settimana scorsa
>>> cazzo!) abilitato
>>> l'accesso ssh al root stesso... smemorato di merda che non sono altro,
>>> ho subito tolto la
>>> possibilita' al ssh di accettare root access..
>>> chiuso il servizio inutile e faceto (TS3) vedo che era tornata la
>>> calma... esco con gli amici
>>> e la moglie ma qualcosa mi suona dentro..
>>>
>>>
>>> ora ricontrollo e vedo che un altro stronzo cinese (58.248.249.58)
>>> (http://whois.domaintools.com/58.248.249.58)
>>> sta provando con un bruteforce alla ricerca di un utente reale..
>>>
>>> [root@occhiodelbar log]# nmap -sS -vv 58.248.249.58
>>>
>>> Starting Nmap 5.00 ( http://nmap.org ) at 2011-06-05 00:08 CDT
>>> NSE: Loaded 0 scripts for scanning.
>>> Initiating Ping Scan at 00:08
>>> Scanning 58.248.249.58 [4 ports]
>>> Completed Ping Scan at 00:08, 0.48s elapsed (1 total hosts)
>>> Initiating Parallel DNS resolution of 1 host. at 00:08
>>> Completed Parallel DNS resolution of 1 host. at 00:09, 13.00s elapsed
>>> Initiating SYN Stealth Scan at 00:09
>>> Scanning 58.248.249.58 [1000 ports]
>>> [...]
>>> Interesting ports on 58.248.249.58:
>>> Not shown: 984 closed ports
>>> PORT STATE SERVICE
>>> 22/tcp open ssh
>>> 111/tcp open rpcbind
>>> 135/tcp filtered msrpc
>>> 139/tcp filtered netbios-ssn
>>> 445/tcp filtered microsoft-ds
>>> 593/tcp filtered http-rpc-epmap
>>> 1072/tcp open unknown
>>> 1521/tcp open oracle
>>> 1720/tcp filtered H.323/Q.931
>>> 1863/tcp open msnp
>>> 2049/tcp open nfs
>>> 4444/tcp filtered krb524
>>> 5190/tcp open aol
>>> 5801/tcp open vnc-http-1
>>> 5901/tcp open vnc-1
>>> 6001/tcp open X11:1
>>>
>>> il loro e' ovviamente un server zombizzato.. e suppongo che sia
>>> inutile avvisarli..
>>> ( vnc e x11.. zombizzato di brutto e adoperato da altrove)
>>>
>>> --------------> e questa e' la richiesta n.1:
>>> ora volevo tagliar via tutta la cina (tanto nessun cinese usava il
>>> nostro server ts) dall'accesso a me, sapete darmi i range
>>> da mettere nel iptables?
>>>
>>>
>>> ma canide del signore.. possibile che anche un serverino mezza
>>> cartuccia faccia cosi' gola a dei dementi?
>>> e poi se per caso lo compromettono io lo spiano... quindi.. boh...
>>> proprio un cazzaccio nulla da fare?
>>>
>>> --------------> richiesta numero 2:
>>> qualcuno di voi ha mai usato sshguard? basta a fermarli o li rallenta
solamente?
>>>
>> _______________________________________________
>> flug mailing list
>> flug@lists.linux.it
>> http://lists.linux.it/listinfo/flug
>
> _______________________________________________
> flug mailing list
> flug@lists.linux.it
> http://lists.linux.it/listinfo/flug
-------------- parte successiva --------------
Un allegato HTML č stato rimosso...
URL: <http://lists.linux.it/pipermail/flug/attachments/20110605/85615f0e/attachment-0001.htm>


Maggiori informazioni sulla lista flug