BOTHUNTERS.PL bezpieczeństwo, trojan, botnet, wirus i łamanie haseł z serwisu nasza-klasa, hacking i cracking. Ciemna Strona Mocy u nas w świetle reflektorów.

Jeżeli ktoś uruchomi jakiś program na Twoim komputerze, to ten komputer przestaje być już Twój.

Konto:

Niezalogowany
Zaloguj się

Menu główne:


Blog

7 komentarzy do Garść statystyk dotyczących skanowania usługi SSH przez boty

  1. yzzuf

    16 lutego, 2009 o godzinie 01:10

    Posiadacie może jakieś statystyki dotyczące skanowania usługi SSH w poszukiwaniu słabych kluczy wygenerowanych przy pomocy dziurawego OpenSSL’a w Debianie?

  2. Borys Łącki [LogicalTrust.net]

    17 lutego, 2009 o godzinie 00:10

    Niestety błędna próba logowania za pomocą kluczy nie jest odnotowana w logach i osobiście takich danych nie posiadam. A też jestem ciekaw :]

  3. Joseph

    19 lutego, 2009 o godzinie 01:13

    Niestety przez to skanowanie mocno ucierpiałem. Wszędzie mam ssh poblokowane ssh po ip. Ale akurat pech chciał, że był serwer do nauki z publicznym ssh. I było kilku uczniów co męczyło ten serwer. No i ktoś (jak zwykle nikt się nie przyznaje) założył konto test o haśle test.
    Ktoś się zalogował z francji, zaraz wylogował, potem się zalogował z rosji i kombinował jak tu roota zdobyć. Jako że z konta test nie było jak się zalogować na roota i system z łatami był na bierząco to guzik zrobił.
    Ale niestety nauczka musi być i koleś zrobić atak na serwery w rosji, wygenerował ruch na poziomie kilku MB/s pakietów UDP na port 0. ISP padł, sprawa trafiła na policję i przez to się musiałem po policji walać.

  4. Patryk Dawidziuk

    20 lutego, 2009 o godzinie 03:17

    tak czy inaczej, warto zawiesić sshd na jakimś nieużywanym wysokim porcie, boty skanują tylko domyślne porty i nie szukają gdzie indziej. Kto ma mieć możliwość zalogowania się, ten będzie znał port. Reszta nie musi. I to chyba jest kierunek obok odfiltrowania wszystkiego poza znanymi lokalizacjami.

  5. yzzuf

    20 lutego, 2009 o godzinie 11:48

    Uruchamianie sshd na wysokich portach nie zawsze jest możliwe, szczególnie jeżeli trudno jest określić z jakich sieci będzie dostęp do systemu (często się zdarza, że niestandardowe porty są filtrowane).
    Warto moim zdaniem zastanowić się nad uruchomieniem czegoś na kształt sshdfilter’a – po trzech (albo więcej lub mniej) nieudanych próbach logowania adres IP wpada na czarną listę. Należy wtedy tylko pamiętać aby nie logować się po pijaku albo na mocnym kacu, gdzie możemy się łatwo pomylić wpisując hasło. ;-)
    Pomijam kwestię autoryzacji za pomocą kluczy.

  6. Patryk Dawidziuk

    20 lutego, 2009 o godzinie 12:20

    yzzuf: tak jak piszesz działa fail2ban. Sprawdza ilość prób z danego adresu IP i dropuje na iptablesach. Ale tutaj można wpaść na inny problem. Jeżeli 100k botów wykona tylko 3 próby logowania na bota, to żaden filtr ich nie wyśledzi.

  7. yzzuf

    20 lutego, 2009 o godzinie 12:24

    Wszystko tak naprawdę zależy od twoich potrzeb i to one powinny decydować o środkach które zastosujesz.
    Botom też można utrudnić życie ograniczając ilość możliwych logowań na sekundę, minutę, godzinę… Ale do końca to też nie rozwiązuje problemu.

Napisz komentarz

(*)
Pole wymagane