Útok na server - hlásit ISP?

[Jose D]

Ahoj,

chtěl jsem se poptat zkušenějších, jestli když najdu v logu sshd slovníkový útok proti mému serveru, zda to má cenu řešit s ISP útočníka.. Kontaktní mail se dá sehnat ve whoisu, má to cenu?

díky

[Reklama]

[H0ax]

sem tam nějakej mail pošlu a sem tam mi i někdo odpoví, že to pořešil, tak to sem tam cenu má :-D

[#]

Ano, rozhodne, ja posilam kazdej takovej pokus.

[alfi]

nechodí jich na standardní porty i několik (desítek) denně? to bych nedělal nic jiného. taky to obvykle nejsou cílené útoky - spíš jen skenování, jestli a kde nechal tesař díru :-)
doporučuju port 22 změnit na jiný a většině podobných skenů se tak vyhnout, už to tu bylo několikrát..

[anarki]

pouzivat "asiablock" [ http://infodepot.wikia.com/wiki/Asiablock ]

[Reklama]

[Franta]

Pokud je to z ČR, tak bych upozornil majitele serveru (případně jeho ISP, pokud kontakt na majitele nenajdeš). Pravděpodobně na tebe neútočí on, ale někdo mu naboural server…

A jestli je to ze zahraničí a je to běžné skenování portů nebo zkoušení hesel typu root/toor/admin/…, tak bych to neřešil.

[Peter]

Po tom, čo som začal používať niečo ako fail2ban, tak sa útoky ku mne domov preriedili a nemám čo riešiť. Presun na neštandardný port som neriešil.

[Petr_]

presun SSH na vyssi port a na 22 dej pro zabaveni kippo

[Mirek Prýmek]

presun SSH na vyssi port a na 22 dej pro zabaveni kippo

No to je hezká věc! To jsem neznal. Různýma zákeřnostma jsem útočníky obšťastňoval, ale full honeypot jsem si nechával na důchod - a hele, on už to někdo má takhle pěkně hotový

Díky!

[Petr_]

presun SSH na vyssi port a na 22 dej pro zabaveni kippo

No to je hezká věc! To jsem neznal. Různýma zákeřnostma jsem útočníky obšťastňoval, ale full honeypot jsem si nechával na důchod - a hele, on už to někdo má takhle pěkně hotový

Díky!

musim rict ze jsem vic sexy vec jeste nevidel je to promakane, co me ale zarazilo ze dobu behu cca 5 mesicu je pomer pruniku bota a naslednych pokusu kompromitovat server velmi maly, dalo by se rict ze na 20-30pruniku 1 pokus o kompromitaci, navic dost casto mam pocit ze i po pruniku trva utocnikovy tyden i dele nez se zkusi zalogovat

ale ze sledovani toho co tam pak lidi provadeji se obcas i priucim

[alfonz]

Šlo by se někde vystavit ty logy z Kippo? mohlo by to být docela poučné. Btw zjistil jste, jak rychle útočník přijde na to, že je vlastně v uzavřený v jiném programu, než v shellu?

[Petr_]

logy vastavovat nebudu jeste by mne nekdo mohl zalovat za naruseni soukromi, ne delam si legraci ale vazne ne

nektery na to prijdou hned prvnim prikazem, neco odnekud natahnou zkouseji pak to pustit a ono to nejde, nevim jestli jim dojde ze je to honeypot nebo jen ze je neco spatne vetsinou do dvou minut odlognou ale jsou pripady kterym to  neda a i temer pet minut tlucou prikazy, tady je poznat rozdil toho kdo vic co dela ze po 2-5ti prikazech odchazi a pak tech co netusi snazi se pisou preklepy a u nekterych mam pocit ze dohledavaji prikazy na internetu

[Franta]

A co zkusit nějaký protiútok – v případě, že je zapnuté tunelování Xek nebo SSH agenta?

[mehmed]

presun SSH na vyssi port a na 22 dej pro zabaveni kippo

Bezpecnost?

Just like Kojoney, Kippo saves files downloaded with wget for later inspection

Takze internet von funguje, napokon keby nie, tak by sa lahko prislo na to, ze nieco nie je v poriadku. Utocnikovi moze stacit navstivit par "zaujmovych" webov a majitelovi moze pekne zavarit. Kto chce kam... Na druhu stranu ked uz niekto prevadzkuje TOR.

[Jose D]

Díky za všechny reakce.. Myslím že vím co jsem potřeboval.