[ mulaz @ 29.05.2006. 20:00 ] @
|
| Zdravo
na kompjuteru teram slackware, i naravno ukljucen sshd, da mogu da pristupim kompjuteru recimo is skole, ili od keve sa posla, ili od bilogde..
e sad.. dnevno dobijam prosecno oko dva bruteforce napada na ssh, mislim da su automatski, username-i sve od ann do zooplankton (mislim da neko pogresio userlst i passlist ;)) .. svaki napad traje oko 5, 10 minuta.. i osim znaka za konekciju na ssh u gkrellmu, napad se ni ne primecuje.. naravno passworda nikad ne provali
sad zanima me, sta vi radite da sprecavate takve napade? drzite sshd pokrenutna nekom nestandardnom portu (da automatizirovani boti ne nadju? ili neki drugi nacin? .. video sam neke programe/skripte koji ubacuju automatsko IP u hosts.deny posle recimo 5 pokusaja, ali to sta sam probao.. nije vredilo nista. dali postoji bolji nacin?
ps. na dinamickom IP-ju sam |
[ Tyler Durden @ 30.05.2006. 08:08 ] @
Pogledaj ovu temu
http://www.elitesecurity.org/tema/123228/
Ja sam samo sklonio sa 22 porta od pocetka i nikad nisam primjetio nijedan brute force napad. Mada ne furam neki ultra posjecen server. Ali ipak... [ bojan_bozovic @ 30.05.2006. 08:46 ] @
Onemoguci SSH za usera root (koristis obincan nalog i su), makni ga sa porta 22 i izaberi dobru lozinku (ako imas dobru lozinku, dakle takvu da dictionary napad ne moze uspeti, mozes i da ostavis ssh na potu 22 i za korisnika root). Pazi, ako je lozinka slaba i provale je napadom, j... ti mamicu! To je #1 greska sysadmina, losa lozinka.
@tdjokic
Samo micanje sshd sa porta 22 nije resenje, jer sde lako skeniraju portovi
[ Tyler Durden @ 30.05.2006. 09:04 ] @
Meni je root login uvijek onemogucen.
Inace, nijedno rijesenje nije savrseno. Sklanjanje sa standardnog porta makar eliminise genericke napade...
[ mulaz @ 30.05.2006. 13:36 ] @
root login je vec po defaultu iskljucen sa ssh-a
moj password je hm.. radom generated kombinacija VELIKIH/malih slova i brojeva.. nema ga sigurno u nikakvom dictionary-u.. i toliko dug da bi klasican BF trajao par godina
stavicuga na neki drugi port.. ja sam 99% da su to botov koji preskeniraju recimo 193.77.*.* trazeci trojan portove i jos ssh i router portove
ne plasim se ja, da bi neko provalio, samo dosadi mi ona zelena traka u gkrellmu, gde vidim da se neko vec pola sata konektuje, i nekih 3-4k linija 'login failed...' u /var/log/messages
stavicu na neki 1024+ port, pa da vidimo dali ce botovi odustati, ili skeniraju ceo range.. ako bude vremena, mozda cu i da napisem nesto sta daje "ip : all" u hosts.deny
[ Mitrović Srđan @ 30.05.2006. 14:16 ] @
instaliraj port sentry i lepo sumnjive ip rutiras u blackhole :)
[ Tyler Durden @ 30.05.2006. 14:46 ] @
Citat: mulaz:stavicu na neki 1024+ port, pa da vidimo dali ce botovi odustati, ili skeniraju ceo range.. ako bude vremena, mozda cu i da napisem nesto sta daje "ip : all" u hosts.deny
Prebaci na neki drugi port, neki visok i bas onda javi nakon nekog vremena jel i dalje imas tih problemcica. Mislim da neces imati nijednu takvu probu.. [ ferguson @ 02.06.2006. 11:20 ] @
Meni je /var/log/mesages toliko veliki da ne moze ni da se otvori... :(
Kada bi se izbrisao, da li bi i dalje unosio logovanja?
[ Tyler Durden @ 02.06.2006. 11:48 ] @
Naravno.
Kako to da nemas neki logrotator??
[ ferguson @ 02.06.2006. 11:55 ] @
Nemam! On brise logove starije od... tako nesto, ili do odredjenog broja?
[ VRider @ 02.06.2006. 12:59 ] @
logrotate po defaultu cuva logove od poslednje 4 nedelje u odvojenim fajlovima, a one starije brise. BTW, koliki je taj log da nece da ga otvori? Kod mene instaler od 238MB editor otvara trenutno?
[ mulaz @ 02.06.2006. 13:16 ] @
ako otvaras nekim gui editorom.. mozda zbog rama ili necega
probaj da otvoris sa nekim pagerom tipa 'less' ili nesto.. ako ne.. jos uvek imas 'tail'
[ Livadic Cvetko @ 30.06.2006. 14:59 ] @
Instaliraj apf (advanced personal firewall) i bfd (Brute Force Detection) i radice ti odlicno sto se tice bruteforce napada.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|