Útok na server - hlásit ISP?

Jose D

  • *****
  • 879
    • Zobrazit profil
Útok na server - hlásit ISP?
« kdy: 02. 05. 2012, 01:41:02 »
Ahoj,

chtěl jsem se poptat zkušenějších, jestli když najdu v logu sshd slovníkový útok proti mému serveru, zda to má cenu řešit s ISP útočníka.. Kontaktní mail se dá sehnat ve whoisu, má to cenu?

díky
« Poslední změna: 02. 05. 2012, 10:35:14 od Petr Krčmář »


H0ax

Re:utok na server - abuse?
« Odpověď #1 kdy: 02. 05. 2012, 06:54:55 »
sem tam nějakej mail pošlu a sem tam mi i někdo odpoví, že to pořešil, tak to sem tam cenu má :-D

#

Re:Útok na server - hlásit ISP?
« Odpověď #2 kdy: 02. 05. 2012, 10:55:58 »
Ano, rozhodne, ja posilam kazdej takovej pokus.

alfi

  • ****
  • 331
    • Zobrazit profil
    • E-mail
Re:Útok na server - hlásit ISP?
« Odpověď #3 kdy: 02. 05. 2012, 13:56:48 »
nechodí jich na standardní porty i několik (desítek) denně? to bych nedělal nic jiného. taky to obvykle nejsou cílené útoky - spíš jen skenování, jestli a kde nechal tesař díru :-)
doporučuju port 22 změnit na jiný a většině podobných skenů se tak vyhnout, už to tu bylo několikrát..

anarki

Re:Útok na server - hlásit ISP?
« Odpověď #4 kdy: 02. 05. 2012, 18:52:04 »


Franta

Re:Útok na server - hlásit ISP?
« Odpověď #5 kdy: 02. 05. 2012, 19:19:25 »
Pokud je to z ČR, tak bych upozornil majitele serveru (případně jeho ISP, pokud kontakt na majitele nenajdeš). Pravděpodobně na tebe neútočí on, ale někdo mu naboural server…

A jestli je to ze zahraničí a je to běžné skenování portů nebo zkoušení hesel typu root/toor/admin/…, tak bych to neřešil.

Peter

Re:Útok na server - hlásit ISP?
« Odpověď #6 kdy: 02. 05. 2012, 19:31:00 »
Po tom, čo som začal používať niečo ako fail2ban, tak sa útoky ku mne domov preriedili a nemám čo riešiť. Presun na neštandardný port som neriešil.

Petr_

Re:Útok na server - hlásit ISP?
« Odpověď #7 kdy: 02. 05. 2012, 20:19:34 »
presun SSH na vyssi port a na 22 dej pro zabaveni kippo :)

Re:Útok na server - hlásit ISP?
« Odpověď #8 kdy: 02. 05. 2012, 20:39:05 »
presun SSH na vyssi port a na 22 dej pro zabaveni kippo :)

No to je hezká věc! To jsem neznal. Různýma zákeřnostma jsem útočníky obšťastňoval, ale full honeypot jsem si nechával na důchod - a hele, on už to někdo má takhle pěkně hotový :)

Díky!

Petr_

Re:Útok na server - hlásit ISP?
« Odpověď #9 kdy: 02. 05. 2012, 20:49:16 »
presun SSH na vyssi port a na 22 dej pro zabaveni kippo :)

No to je hezká věc! To jsem neznal. Různýma zákeřnostma jsem útočníky obšťastňoval, ale full honeypot jsem si nechával na důchod - a hele, on už to někdo má takhle pěkně hotový :)

Díky!
musim rict ze jsem vic sexy vec jeste nevidel :D je to promakane, co me ale zarazilo ze dobu behu cca 5 mesicu je pomer pruniku bota a naslednych pokusu kompromitovat server velmi maly, dalo by se rict ze na 20-30pruniku 1 pokus o kompromitaci, navic dost casto mam pocit ze i po pruniku trva utocnikovy tyden i dele nez se zkusi zalogovat

ale ze sledovani toho co tam pak lidi provadeji se obcas i priucim :)

alfonz

Re:Útok na server - hlásit ISP?
« Odpověď #10 kdy: 04. 05. 2012, 16:49:59 »
Šlo by se někde vystavit ty logy z Kippo?:) mohlo by to být docela poučné. Btw zjistil jste, jak rychle útočník přijde na to, že je vlastně v uzavřený v jiném programu, než v shellu?

Petr_

Re:Útok na server - hlásit ISP?
« Odpověď #11 kdy: 04. 05. 2012, 19:56:18 »
logy vastavovat nebudu jeste by mne nekdo mohl zalovat za naruseni soukromi, ne delam si legraci ale vazne ne :)

nektery na to prijdou hned prvnim prikazem, neco odnekud natahnou zkouseji pak to pustit a ono to nejde, nevim jestli jim dojde ze je to honeypot nebo jen ze je neco spatne vetsinou do dvou minut odlognou ale jsou pripady kterym to  neda a i temer pet minut tlucou prikazy, tady je poznat rozdil toho kdo vic co dela ze po 2-5ti prikazech odchazi a pak tech co netusi snazi se pisou preklepy a u nekterych mam pocit ze dohledavaji prikazy na internetu :D

Franta

Re:Útok na server - hlásit ISP?
« Odpověď #12 kdy: 04. 05. 2012, 20:17:38 »
A co zkusit nějaký protiútok – v případě, že je zapnuté tunelování Xek nebo SSH agenta?

mehmed

Re:Útok na server - hlásit ISP?
« Odpověď #13 kdy: 05. 05. 2012, 22:53:39 »
presun SSH na vyssi port a na 22 dej pro zabaveni kippo :)

Bezpecnost?

Citace
Just like Kojoney, Kippo saves files downloaded with wget for later inspection
Takze internet von funguje, napokon keby nie, tak by sa lahko prislo na to, ze nieco nie je v poriadku. Utocnikovi moze stacit navstivit par "zaujmovych" webov a majitelovi moze pekne zavarit. Kto chce kam... Na druhu stranu ked uz niekto prevadzkuje TOR.

Jose D

  • *****
  • 879
    • Zobrazit profil
Re:Útok na server - hlásit ISP?
« Odpověď #14 kdy: 06. 05. 2012, 13:01:43 »
Díky za všechny reakce.. Myslím že vím co jsem potřeboval.