ssh probing

[Nick Demou]

Σε φρεσκοστημένο linux server σε 48 ώρες είδα 5.784 αποτυχημένες προσπάθειες
αγνώστων να συνδεθούν μέσω ssh (2 προσπάθειες ανά δευτερόλεπτο!)

Βλέπει κανείς άλλος τέτοια "ένταση" στα probes για ssh connection?

Φυσικά άλλαξα την default πόρτα μιας και στην περίπτωση μου ήταν πολύ εύκολο
και ανώδυνο αλλά αναρωτιέμε:

 1) Πως μπορώ να κάνω detect αν κάποιος μου κάνει nmap myaddress για να βρει
όλες τις open ports?
 2) υπάρχει κανένας τρόπος να απαντά στην πόρτα 22 ένας fake sshd server
μόνο και μόνο για να καθυστερεί τους crackers (όχι για μένα για τον
φουκαριάρη τον server σας :-)
 3) υπάρχει κανένας τρόπος να απαντά στις περισότερες ή σε όλες τις πόρτες
κάποιο προγραμματάκι που επίσης απλά θα καθυστερεί τα probes?

για τους περίεργους μερικά στατιστικά από τα logs μου αλλά πρώτα μια
στενάχωρη είδηση: έκανα

[~]# cd /var/log

[log]# grep  "Failed pass.* from "  secure | sed -e "s/^.*::ffff://" -e "s/
.*$//" | sort | uniq -c | sort -n
      3 194.165.4.142
     12 60.12.193.134
     15 65.126.120.25
     28 221.194.128.66
     32
     69 60.10.140.13
     93 200.45.249.25
     97 67.169.97.174
    373 212.24.175.173
   2027 74.86.131.173
   3037 79.142.192.157
(^^^^μερικοί είναι επίμονοι)

[log]# grep  "Failed pass.* from "  secure | grep -v root | sed -e
"s/^.*::ffff://" -e "s/ .*$//" | sort | uniq -c | sort -n
      2 194.165.4.142
      2 60.12.193.134
      2 65.126.120.25
      5 221.194.128.66
     58 200.45.249.25
     65 67.169.97.174
    211 212.24.175.173
   1623 74.86.131.173
   2929 79.142.192.157
(το root pass είναι το αγαπημένο των περισσοτέρων)

[log]# grep 79.142.192.157 secure | grep "Failed pass" | sed -e
"s/^.*password for //" -e "s/from .*$//" | sort | uniq -c | sort -n | tail
     90 invalid user abcd
     92 invalid user abc
     94 invalid user abcde
     97 root
    113 invalid user zxcvb
    117 invalid user 1234
    122 invalid user qwerty
    127 invalid user 123
    137 invalid user 12345
    154 invalid user 123456
(ήθελα να ξερα ποιος έχει τέτοια usernames και αξίζει τον κόπο να δοκιμάζουν
τόσο πολύ πάνω τους???)

-- 
"The software is licensed, not sold" -- MICROSOFT LICENSE TERMS
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.hellug.gr/pipermail/linux-greek-users/attachments/20090609/ecb78d1f/attachment.htm>