ssh probing

[DJ Art]

On Tuesday 09 June 2009, Stelios M. wrote:
> Αναφέρω ενδεικτικά τα χθεσινά στατιστικά από έναν server:
>
>  Failed logins from:
>    117.32.129.38: 67 times
>
>  Illegal users from:
>    117.32.129.38: 207 times

$ host 117.32.129.38
Host 38.129.32.117.in-addr.arpa. not found: 3(NXDOMAIN)

(αναμενόμενο)

Δεν έχει ιδιαίτερο νόημα η καθυστέρηση ή το στήσιμο honeypot σε αυτά τα 
connections. Το πιθανότερο είναι πως ανήκουν είτε σε botnet, είτε είναι 
μέρος κάποιου αδιάφορου υπολογιστικού κέντρου (πχ Ακαδημαϊκού 
Ιδρύματος), έχουν μολυνθεί από rootkit και απλά βαράνε brute force 
dictionary-based ssh login attempts όπου βρούν, προσπαθώντας από μόνα 
τους να εξαπλωθούν ...

Στο παραπάνω συμπέρασμα θα καταλήξεις είτε κοιτώντας τα αδιάφορα 
στατιστικά του honeypot είτε θυσιάζοντας ένα κανονικό host για να 
μελετήσεις το rootkit που θα εγκατασταθεί.

Επομένως το να καθυστερέις ή να παρακολουθείς αυτά τα εκτός ελέγχου 
robots δεν έχει καθόλου νόημα, εντελώς χάσιμο χρόνου και κόπου.

Από την άλλη, αυτό που έχει νόημα είναι να σταματήσουν να μολύνονται τα 
auth/security logs σου με βλαμμένα attempts και η λύση σε αυτό έχει το 
όνομα denyhosts (http://denyhosts.sourceforge.net/)

Κι αν θες να κάνεις και κάτι χρήσιμο, ρίχνεις που και πού μια ματιά στα 
email notifications που στέλνει το denyhosts με τα blocked hosts. Αν 
δείς κάποιο dns lookup που βγάζει νόημα (είναι δηλ. κάποιος κανονικός 
server και όχι κάποιο dialup μηχάνημα), ενημερώνεις τον admin του. Πχ 
μια φορά μου είχε τύχει και το attempt προερχόταν από κάποιο open source 
project, οπότε μπήκα στον κόπο να τους στείλω ένα email (αν και ήδη το 
ξέρανε).


-- 
Thanos Kyritsis <djart at linux.gr>
Q: Εθελοντής ή θεατής ?
A: Ιδιοκτήτης! ;-)