ssh probing

Tue Jun 9 12:34:33 EEST 2009

Αν έχεις όρεξη και χρόνο θα μπορούσες να στήσεις ένα honeypot
(http://www.honeyd.org/) και πέρα από την καταγραφή των συμβάντων να
'παίξεις' και λίγο με τους hackers προσφέροντας τους εικονικά
services. Εννοείτε ότι το honeypot  δεν το στήνουμε στο ίδιο μηχάνημα
που προσφέρουμε υπηρεσίες κανονικά. Μπορείς να κάνεις forward στο
firewall μερικές ports στο honeyd μηχανάκι.

Αναφέρω ενδεικτικά τα χθεσινά στατιστικά από έναν server:

 Failed logins from:
   117.32.129.38: 67 times

 Illegal users from:
   117.32.129.38: 207 times

~stelios

2009/6/9 Nick Demou <ndemou at gmail.com>:
> Σε φρεσκοστημένο linux server σε 48 ώρες είδα 5.784 αποτυχημένες προσπάθειες
> αγνώστων να συνδεθούν μέσω ssh (2 προσπάθειες ανά δευτερόλεπτο!)
>
> Βλέπει κανείς άλλος τέτοια "ένταση" στα probes για ssh connection?
>
> Φυσικά άλλαξα την default πόρτα μιας και στην περίπτωση μου ήταν πολύ εύκολο
> και ανώδυνο αλλά αναρωτιέμε:
>
>  1) Πως μπορώ να κάνω detect αν κάποιος μου κάνει nmap myaddress για να βρει
> όλες τις open ports?
>  2) υπάρχει κανένας τρόπος να απαντά στην πόρτα 22 ένας fake sshd server
> μόνο και μόνο για να καθυστερεί τους crackers (όχι για μένα για τον
> φουκαριάρη τον server σας :-)
>  3) υπάρχει κανένας τρόπος να απαντά στις περισότερες ή σε όλες τις πόρτες
> κάποιο προγραμματάκι που επίσης απλά θα καθυστερεί τα probes?
>
> για τους περίεργους μερικά στατιστικά από τα logs μου αλλά πρώτα μια
> στενάχωρη είδηση: έκανα
>
> [~]# cd /var/log
>
> [log]# grep  "Failed pass.* from "  secure | sed -e "s/^.*::ffff://" -e "s/
> .*$//" | sort | uniq -c | sort -n
>       3 194.165.4.142
>      12 60.12.193.134
>      15 65.126.120.25
>      28 221.194.128.66
>      32
>      69 60.10.140.13
>      93 200.45.249.25
>      97 67.169.97.174
>     373 212.24.175.173
>    2027 74.86.131.173
>    3037 79.142.192.157
> (^^^^μερικοί είναι επίμονοι)
>
> [log]# grep  "Failed pass.* from "  secure | grep -v root | sed -e
> "s/^.*::ffff://" -e "s/ .*$//" | sort | uniq -c | sort -n
>       2 194.165.4.142
>       2 60.12.193.134
>       2 65.126.120.25
>       5 221.194.128.66
>      58 200.45.249.25
>      65 67.169.97.174
>     211 212.24.175.173
>    1623 74.86.131.173
>    2929 79.142.192.157
> (το root pass είναι το αγαπημένο των περισσοτέρων)
>
> [log]# grep 79.142.192.157 secure | grep "Failed pass" | sed -e
> "s/^.*password for //" -e "s/from .*$//" | sort | uniq -c | sort -n | tail
>      90 invalid user abcd
>      92 invalid user abc
>      94 invalid user abcde
>      97 root
>     113 invalid user zxcvb
>     117 invalid user 1234
>     122 invalid user qwerty
>     127 invalid user 123
>     137 invalid user 12345
>     154 invalid user 123456
> (ήθελα να ξερα ποιος έχει τέτοια usernames και αξίζει τον κόπο να δοκιμάζουν
> τόσο πολύ πάνω τους???)
>
> --
> "The software is licensed, not sold" -- MICROSOFT LICENSE TERMS
>
>
> --
> linux-greek-users mailing list -- http://lists.hellug.gr
>