[Flug] [Richiesta di aiuto] sotto attacco brute force

[alessio chemeri]

Il 06 giugno 2011 08:55, Simone Piccardi <piccardi@truelite.it> ha scritto:
> On 06/06/2011 00:26, alessio chemeri wrote:
>>
>> Il 05 giugno 2011 16:05, Christian Surchi<christian@firenze.linux.it>
>> ha scritto:
>>>
>>> On Sun, Jun 05, 2011 at 02:10:47PM -0500, alessio chemeri wrote:
>>>>
>>>> A Tuttoggi nessun tipo di attacco , ho tagliato fuori con iptable mezza
>>>> asia, ho tirato giu il servizio debole (teamspeak) e sto cercando di
>>>> capire
>>>> se e' bastato... ovviamente se sono diventato un banco di prova per
>>>> qualche
>>>> testaccia di guano allora non bastera' a farli desistere.. suppongo che
>>>> il
>>>> fail2ban Che credo di aver usato in passato ma non ricordavo sia un
>>>> deterrente minimo da adottare.. grazie del supporto a tutti, vi tengo
>>>> informati..ah sulle pasw non mettomai psw facili ma il problema e' che
>>>> se
>>>> non hai un minimo di ids e se non ti accorgi che stanno provando un
>>>> bruteforce stai solo rimandando il dramma...
>>>
>>> mi pareva si leggesse dalle risposte di altri, ma lo ribadisco: ma non
>>> stai subendo un attacco particolarmente inusuale, a mio avviso... basta
>>> un IP pubblico e i bruteforce su un ssh in ascolto sono quasi la
>>> normalità :)
>>>
>> ciao, quello che dicevo era che erano circa 20 ore che non spaccavano i
>> ministri
>> degli interni.. in pratica scrivendo col "parla to testo" dell'android
>> e' venuto fuori
>> quel msg :D
>>
>> ma stasera rieccoli..
>> riecco i cinesi proxati su un server vecchio (2009) dell'iowa..
>>
>> 167.142.174.98
>>
>> e ha ripreso il brute force
>>
>> due palle.. ora metto il fail2ban sperando che basti..
>>
> Mah, se usi password robuste stan solo perdendo tempo. E se vuoi risolvere
> davvero la cosa metti autenticazione solo a chiavi e vivi tranquillo.
>
> Failtoban funziona bene, ma secondo me e` una pezza, e ha anche qualche
> rischio, specie se sbagli a scrivere la password te un po' troppe volte (e
> hai furia di entrare).
>
il fatto e' che che io uso pasw abbastanza robuste (10 caratteri
almeno, numeri maiuscole e minuscole)
ma loro hanno tutto il tempo che vogliono e questo significa che prima
o poi trovano una falla..

ed in piu' vale quanto ha detto Leonardo sotto, ho notato qualcosa di
strano perche' il server aveva picchi di
attivita' altissimi e sulle prime ho pensato che ci fosse una folla
enorme dentro il teamspeak (da li'..sono entrato
dentro il ts per salutare e/o vedere e ho scoperto che c'era solo 1
tizio a me sconosciuto) ma poi facendo un minimo
di controllo ho visto che il server passava tutto il suo tempo a
rispondere a sti cinesi su tutte le porte possibili..
(ehm.. ssh e http le altre son bloccate )

avevo socket su socket in chiusura e altrettanti in apertura.. ora sto
scatolino e' adatto a fare quello che deve fare
e poco di piu' (una videosorveglianza e niente altro) se pero' devo
fare anche da bootcamp per acari cinesi in
erba (anzi... in salsa di soja) non ce la fa... ed infatti guardando
le registrazioni dell'ultima settimana (ora le
stavo guardando) ho notato che ci sono meno frame minuto ... con il
rischio che mi abbia perfino perso "eventi"
a causa di cpu overhauled..

passo alla fase 2 : spianarlo e rifarlo perche' non mi fido piu' :D

Ale