Posted By: Tuttle (MamPoLetechJinyUsername!) on 'CZunix'
Title:     Re: bruteforce na sshd z rozdilnych IP
Date:      Sun Nov  8 12:46:01 2009

> Ahoj,
> chci se zeptat jak mohu zamezit bf utoku na box, na kterem je povolene ssh 
> odevsud, kteryzto utok probiha tak, ze kazde pripojeni je z jine IP (fake 
> IP?) a po ruzne dlouhem intervalu (cca 30-60sec). SSH port jsem zmenil z 22 
> na 6xxxx ale nepomohlo to. Utok porad probiha.
> Diky
> Bubrak

Hm, to je neprijemne. A taky dost podezrele, ze si te utocnik nasel na vysokem 
portu. Jestli to ve skutecnosti nemuze pusobit nejaky zlomyslnik z tveho 
okoli, ktery o novem portu vi od tebe. Obvykle je vysoky port velmi ucinna 
zbran. Patrne ses stal cilenou obeti.

Port knocking lze nastavit jakkoli, treba tak, abys jednoduse aktivoval z 
jakychkoli windows. Krome toho hlasit se na SSH sveho serveru "odkudkoli, kde 
nemusis mit klepaci program nainstalovany", je obvykle risk. Nevis, jaky 
logger klavesnice je tam na tebe prichystany.

Pokud jsi na svem serveru mohl zmenit SSH port, znamena to, ze ho nepouzivaji 
uplni laici. Zmenu si nemuze dovolit kazdy spravce. Je pravdepodobne, ze by 
uzivatele toho portu prezili i port knocking.

Dalsi moznosti je omezeni zdrojovych IP nebo celych siti primo v paketovem 
filtru. Site prirazene celym statum se s casem az tak nemeni a moc jich neni, 
treba u Ceska.

T.
 

Search the boards