Posted By: pvl (Tao-te-ting) on 'CZunix'
Title:     Re: bruteforce na sshd z rozdilnych IP
Date:      Sun Nov  8 22:32:19 2009

> > Ahoj,
> > chci se zeptat jak mohu zamezit bf utoku na box, na kterem je povolene ssh
> > odevsud, kteryzto utok probiha tak, ze kazde pripojeni je z jine IP (fake 
> > IP?) a po ruzne dlouhem intervalu (cca 30-60sec). SSH port jsem zmenil z
> 22 
> > na 6xxxx ale nepomohlo to. Utok porad probiha.
> > Diky
> > Bubrak
> 
> Hm, to je neprijemne. A taky dost podezrele, ze si te utocnik nasel na
> vysokem 
> portu. Jestli to ve skutecnosti nemuze pusobit nejaky zlomyslnik z tveho 
> okoli, ktery o novem portu vi od tebe. Obvykle je vysoky port velmi ucinna 
> zbran. Patrne ses stal cilenou obeti.

s tim souhlasim. Je hooodne podezrele, ze by ses stal cilem nejakeho 
distribuovaneho utoku jen tak, zvlast pote, co zmenis port ..
Takze .. kolik lidi to pouziva? Bud za to muze nekdo z nich (umyslne a nebo i 
neumyslne! - kdyz muzou viry tahat info o ftp uctech z totalcmd, tak proc by 
nemohli z putty)
to je nejpravdepodobnejsi varianta.
Dalsi moznost je, ze po tobe fakt jdou ;) .. pak by ale museli po kazde zmene 
portu, provadet fullscan, coz by chtelo vypozorovat - kdyz bude z jedne IP, 
muzes to lehce zastavit, pokud by byl taky distribuovanej, tak ses asi v p...

myslim si, ze v tom bude nejakej vir/trojan nekoho s pristupem
pak je dobre ho lokalizovat a PC osetrit. 
Jinak bych to ja osobne resil prehodnocenim "potrebuji pristup odevsud", 
protoze to vetsinou neni pravda, jde o to, to lepe naformulovat a pak 
vymyslet jak zrealizovat (zmineny PK, omezeni na IP range CR apod...)

Pavel

Search the boards