Kandu.dk - distrubueret liste over distribuerede ssh-attacks


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

distrubueret liste over distribuerede ssh-~
Fra : Leif Neland

Dato : 09-04-09 19:20

Jeg har set min box blive brute-force angrebet på ssh, fra mange forskellige
hosts, men på samme brugernavn. Forleden root, i går admin, lige nu james.

Findes der et modtræk til dette, et plugin til pam f.ex, der kan fungere
ligesom spamcop, pyzor og razor?

Skurkene angriber sikkert fra et botnet, med lang tid imellem hvert forsøg
fra den samme host.

Hvis vi white-hats nu indrapporterede hvert forsøg til et centralt sted, så
kunne dette sted, f.ex. via dns-opslag rapportere, at denne ip-adresse
bliver brugt til indbrudsforsøg.

Så kunne man spærre for fremtidige besøg fra den adresse.

Evt kunne dette centrale sted sende en mail til abuse@udbyderen (hvis dette
stadig virker...) og rapportere at den og den host under hans jurisdiktion
bliver brugt til botnet.

Findes der noget i den stil?

Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
maskine, for det er kun symptombehandling. Det er mere interessant, hvis det
er muligt at stoppe problemet ved roden.

Leif

Er der

Kent Friis (09-04-2009)

Kommentar
Fra : Kent Friis

Dato : 09-04-09 20:39

Den Thu, 9 Apr 2009 20:19:58 +0200 skrev Leif Neland:
> Jeg har set min box blive brute-force angrebet på ssh, fra mange forskellige
> hosts, men på samme brugernavn. Forleden root, i går admin, lige nu james.
>
> Findes der et modtræk til dette, et plugin til pam f.ex, der kan fungere
> ligesom spamcop, pyzor og razor?

Ikke mig bekendt.

> Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
> maskine, for det er kun symptombehandling. Det er mere interessant, hvis det
> er muligt at stoppe problemet ved roden.

Symptom-behandling er den mest effektive løsning... Slå logning af
mislykkede forsøg fra Glad

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

Kasper Lund (09-04-2009)

Kommentar
Fra : Kasper Lund

Dato : 09-04-09 21:27

Kent Friis wrote:
> Den Thu, 9 Apr 2009 20:19:58 +0200 skrev Leif Neland:
>> Jeg har set min box blive brute-force angrebet på ssh, fra mange forskellige
>> hosts, men på samme brugernavn. Forleden root, i går admin, lige nu james.
>>
>> Findes der et modtræk til dette, et plugin til pam f.ex, der kan fungere
>> ligesom spamcop, pyzor og razor?
>
> Ikke mig bekendt.
>
>> Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
>> maskine, for det er kun symptombehandling. Det er mere interessant, hvis det
>> er muligt at stoppe problemet ved roden.
>
> Symptom-behandling er den mest effektive løsning... Slå logning af
> mislykkede forsøg fra Glad

Og/eller brug denyhosts. Jeg bruger det selv og føler da at det giver en
vis tryghed. Men måske tager jeg fejl?

>
> Mvh
> Kent

Leif Neland (10-04-2009)

Kommentar
Fra : Leif Neland

Dato : 10-04-09 19:25

>>
>>> Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
>>> maskine, for det er kun symptombehandling. Det er mere interessant,
>>> hvis det er muligt at stoppe problemet ved roden.
>>
>> Symptom-behandling er den mest effektive løsning... Slå logning af
>> mislykkede forsøg fra Glad

>
> Og/eller brug denyhosts. Jeg bruger det selv og føler da at det giver en
> vis tryghed. Men måske tager jeg fejl?
>
Nu har jeg installeret denyhosts, og er nu oppe på 648 hosts.

Men een ting er jo at blokere for angrebene hos mig selv, men er der
nogen, der fortæller f.ex. dbhosting.nl at websvr01.dbhosting.nl er
inficeret?

Jeg ville da p'sonligt gerne have en mail, hvis en af mine servere var
blevet inficeret.

Leif

Rander (10-04-2009)

Kommentar
Fra : Rander

Dato : 10-04-09 01:25

Kent Friis skrev noget i denne stil, den 09-04-2009 21:38:
>> Jeg har set min box blive brute-force angrebet på ssh, fra mange forskellige
>> hosts, men på samme brugernavn. Forleden root, i går admin, lige nu james.
> Findes der et modtræk til dette, et plugin til pam f.ex, der kan fungere
>> ligesom spamcop, pyzor og razor?
> Ikke mig bekendt.
>> Jeg er ikke intereseret i forslag til hvordan jeg beskytter min egen
>> maskine, for det er kun symptombehandling. Det er mere interessant, hvis det
>> er muligt at stoppe problemet ved roden.
> Symptom-behandling er den mest effektive løsning... Slå logning af
> mislykkede forsøg fra Glad

Jeg foretrækker nu at sætte sshd til at lytte på en anden port end
standard-porten...

--
Lars Rander ** Pil ikke ved min adresse ** :(){ :&:& };:
http://bamsepetting.dk

Mine eventuelle forældre og søskende kendes ikke.
Min mand er død, han har hængt sig, det svin. (Skadesanmeldelse)

Klaus Alexander Seis~ (10-04-2009)

Kommentar
Fra : Klaus Alexander Seis~

Dato : 10-04-09 00:30

Kasper Lund skrev:

> Og/eller brug denyhosts.

Denyhosts kan netop tjekke om en given IP-adresse har forsÃ¸gt sig pÃ¥
en anden ssh-server, som OP efterlyste/foreslog.

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

Kasper Nordal Lund (10-04-2009)

Kommentar
Fra : Kasper Nordal Lund

Dato : 10-04-09 06:14

Klaus Alexander Seistrup wrote:
> Kasper Lund skrev:
>
>> Og/eller brug denyhosts.
>
> Denyhosts kan netop tjekke om en given IP-adresse har forsÃ¸gt sig pÃ¥
> en anden ssh-server, som OP efterlyste/foreslog.
>
> Mvh,
>

Ja, det kan jeg da se. Det har jeg aldrig benyttet mig af, men jeg fÃ¥r
dagligt tilfÃ¸jet nye hosts i min egen deny hosts fil.

Søg

Reklame

Statistik

Spørgsmål :	177547
Tips :	31968
Nyheder :	719565
Indlæg :	6408797
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste