Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Jose D 02. 05. 2012, 01:41:02
-
Ahoj,
chtěl jsem se poptat zkušenějších, jestli když najdu v logu sshd slovníkový útok proti mému serveru, zda to má cenu řešit s ISP útočníka.. Kontaktní mail se dá sehnat ve whoisu, má to cenu?
díky
-
sem tam nějakej mail pošlu a sem tam mi i někdo odpoví, že to pořešil, tak to sem tam cenu má :-D
-
Ano, rozhodne, ja posilam kazdej takovej pokus.
-
nechodí jich na standardní porty i několik (desítek) denně? to bych nedělal nic jiného. taky to obvykle nejsou cílené útoky - spíš jen skenování, jestli a kde nechal tesař díru :-)
doporučuju port 22 změnit na jiný a většině podobných skenů se tak vyhnout, už to tu bylo několikrát..
-
pouzivat "asiablock" [ http://infodepot.wikia.com/wiki/Asiablock ]
-
Pokud je to z ČR, tak bych upozornil majitele serveru (případně jeho ISP, pokud kontakt na majitele nenajdeš). Pravděpodobně na tebe neútočí on, ale někdo mu naboural server…
A jestli je to ze zahraničí a je to běžné skenování portů nebo zkoušení hesel typu root/toor/admin/…, tak bych to neřešil.
-
Po tom, čo som začal používať niečo ako fail2ban, tak sa útoky ku mne domov preriedili a nemám čo riešiť. Presun na neštandardný port som neriešil.
-
presun SSH na vyssi port a na 22 dej pro zabaveni kippo :)
-
presun SSH na vyssi port a na 22 dej pro zabaveni kippo :)
No to je hezká věc! To jsem neznal. Různýma zákeřnostma jsem útočníky obšťastňoval, ale full honeypot jsem si nechával na důchod - a hele, on už to někdo má takhle pěkně hotový :)
Díky!
-
presun SSH na vyssi port a na 22 dej pro zabaveni kippo :)
No to je hezká věc! To jsem neznal. Různýma zákeřnostma jsem útočníky obšťastňoval, ale full honeypot jsem si nechával na důchod - a hele, on už to někdo má takhle pěkně hotový :)
Díky!
musim rict ze jsem vic sexy vec jeste nevidel :D je to promakane, co me ale zarazilo ze dobu behu cca 5 mesicu je pomer pruniku bota a naslednych pokusu kompromitovat server velmi maly, dalo by se rict ze na 20-30pruniku 1 pokus o kompromitaci, navic dost casto mam pocit ze i po pruniku trva utocnikovy tyden i dele nez se zkusi zalogovat
ale ze sledovani toho co tam pak lidi provadeji se obcas i priucim :)
-
Šlo by se někde vystavit ty logy z Kippo?:) mohlo by to být docela poučné. Btw zjistil jste, jak rychle útočník přijde na to, že je vlastně v uzavřený v jiném programu, než v shellu?
-
logy vastavovat nebudu jeste by mne nekdo mohl zalovat za naruseni soukromi, ne delam si legraci ale vazne ne :)
nektery na to prijdou hned prvnim prikazem, neco odnekud natahnou zkouseji pak to pustit a ono to nejde, nevim jestli jim dojde ze je to honeypot nebo jen ze je neco spatne vetsinou do dvou minut odlognou ale jsou pripady kterym to neda a i temer pet minut tlucou prikazy, tady je poznat rozdil toho kdo vic co dela ze po 2-5ti prikazech odchazi a pak tech co netusi snazi se pisou preklepy a u nekterych mam pocit ze dohledavaji prikazy na internetu :D
-
A co zkusit nějaký protiútok – v případě, že je zapnuté tunelování Xek nebo SSH agenta?
-
presun SSH na vyssi port a na 22 dej pro zabaveni kippo :)
Bezpecnost?
Just like Kojoney, Kippo saves files downloaded with wget for later inspection
Takze internet von funguje, napokon keby nie, tak by sa lahko prislo na to, ze nieco nie je v poriadku. Utocnikovi moze stacit navstivit par "zaujmovych" webov a majitelovi moze pekne zavarit. Kto chce kam... Na druhu stranu ked uz niekto prevadzkuje TOR.
-
Díky za všechny reakce.. Myslím že vím co jsem potřeboval.
-
presun SSH na vyssi port a na 22 dej pro zabaveni kippo :)
Bezpecnost?
Just like Kojoney, Kippo saves files downloaded with wget for later inspection
Takze internet von funguje, napokon keby nie, tak by sa lahko prislo na to, ze nieco nie je v poriadku. Utocnikovi moze stacit navstivit par "zaujmovych" webov a majitelovi moze pekne zavarit. Kto chce kam... Na druhu stranu ked uz niekto prevadzkuje TOR.
V cechach jsem zatim nemel problem s "internetovou presumpci viny". Tak nejhur muzes jit k podani vysvetleni.
Zavarit ti muze kdekdo tak jako tak v realnem zivote. Diky spatnym zakonum je az detinsky snadne nekoho zlikvidovat. Pro zacatek zkopirovat tvoje osobni udaje a podplatit par revizoru z dopravniho podniku.
-
fail2ban
konfigurak
/etc/fail2ban/jail.conf
nekde skoro na zacatku toho souboru je bantime -> nastav aspon na 3600 (sekund)
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3jeste existuje denyhosts ale osobne davam prednost fail2ban
informovat kvuli kazdemu utoku ISP tak nedelam nic jineho navic zabezpeceni serveru neni jejich starost (pokud je to dedik varianta)