Изпечатай

[ivanatora]

Здравейте '>
Метнах едно око на изхода от lastb и останах втрещен - няколко хиляди опита за по-малко от две седмици. Някакви се опитват да познават юзъри и пароли на азбучен принцип. Пускат ги по 10-15 в минута. И не е от един или два адреса, а от доста различни.
Имам PermitRootLogin No и не се тревожа много за това. Компа си е просто домашно ПЦ - филми, музика, интернет, разработка... Няма какво да му се хаква '> През SSH си ползвам компа като не съм си вкъщи.
Въпроса е какво е положението с невалидните опити за логин при вас? Тревожите ли се за такива неща? Най е лесно да си направя едно скриптче, което да бута във firewall-а адрес с повече от Х невалидни опита, ама се чудя дали си струва труда и ресурсите.

[senser]

Разгледай denyhosts, може да ти допадне '>

[dedmin]

Смени си порта на ssh, забрани логин с парола и ползвай key за логин.

[ivanatora]

Добра идея, ама няма как да нося навсякъде ключа със себе си '> Логвам се от различни места и често флашката не ми е в джоба.

[dedmin]

Записваш я на имейл или някой сървър за зор-заман.

[Lamer4o]

Recent Match i iptables и си решаваш проблема с бруте форсе атаките !!!

[neter]

Решенията, които използвам аз в такива случаи, са две. Едното вече беше споменато - ключ. Второто е просто дропване на всички заявки по ssh (или направо policy DROP за таблицата) и позволение само от едно IP. Така, когато искам да се вържа към блокираната машина от друго място, първо влизам в тази, която е позволена и от нея влизам в целевата машина. denyhosts също е добро решение, но лично аз обичам по iptables да пипат само скриптовете, които аз съм си писал или ръчно самият аз. Човек може да си измисли и други варианти, въпросът е до лично удобство и предразполагаща обстановка за целта '>

[jet]

http://packages.debian.org/unstable/net/knockd

[bulg]

Цитат (jet @ Март 30 2008,20:36)

http://packages.debian.org/unstable/net/knockd

Цитат

This can be used to open up holes in a firewall for quick access.

[VladSun]

http://linux-bg.org/cgi-bin....5185851

[mystical]

Цитат (senser @ Март 11 2008,08:29)

Разгледай denyhosts, може да ти допадне '>

denyhosts лично за мен ми изглежда подходящо решение. За домашно ПС на което няма кой знае каква важна информация и на което се логвам само аз е перфектно решение.

Интересен ми е само факта как сканират и намират IP адресите на които има включен sshd daemon?

[neter]

Цитат (mystical @ Април 01 2008,23:16)

Интересен ми е само факта как сканират и намират IP адресите на които има включен sshd daemon?

Разгледай документацията на nmap, например '>

[n00b]

Понеже имам известен опит ще го споделя с теб...

Търсенето на SSH хостове и опитите им за взлом са 2 дейности. Първата може да се изпълни и от интернет кафене. Смъква се програма Х и се задава диапазон на IP мрежи за сканиране. Програмата го прави и качва резултата на някакъв сайт (също хакнат). След което хакера прави анализ на ИП адресите - имена на хостове, дали има webservers и т.н.

Ако изкочи нещо интересно се пуска програма за налучкване на паролата върху зададеното ИП. Пак от вече хакнат компютър.

Ако се взломи - ето нова база за атаки. Ако не - все някъде има мързеливи администратори или други такива нарочени за администратори.

Редакция: Така както съм го написал изглежда че съм "еХем ти у хакерУ". Всъщност се борих с някакъв младеж (или девойка'>) преди 2 години. Всички следи водят до вече хакнати машини. Оттам и да измъкнеш логове пак водят до хакнати такива. И т.н.