ssh probing

[Nick Demou]

2009/6/9 Nick Demou <ndemou at gmail.com>:
> 2009/6/9 DJ Art <djart at linux.gr>:
>> [...]
>> Δεν έχει ιδιαίτερο νόημα η καθυστέρηση ή το στήσιμο honeypot σε αυτά τα
>> connections. Το πιθανότερο είναι πως ανήκουν είτε σε botnet, [...]
>
> ο λόγος που το σκεφτόμουν να καθυστερήσω τα connections είναι πως *αν*
> μπορώ να το κάνω εύκολα τότε *ίσως* να το κάνουν και άλλοι και η
> ταχύτητα εξάπλωσης των botnets να μειωθεί (κάτι που θα κάνει σίγουρα
> καλό στους σοβαρούς admins).
>
> (Αν το setup είναι δύσκολο δεν έχει σίγουρα νόημα)

είναι όντως πανεύκολο:
στο ίδιο PC που τρέχεις τον κανονικό sshd στην ενναλακτική πόρτα
τρέχεις και αυτό:
    /usr/sbin/sshd  -p22 -o "DenyUsers *"

και έχεις έναν fake sshd να τρέχει στην πόρτα 22 και να ζητά
credentials αλλά να επιστρέφει πάντα "Permission denied, please try
again." λες και έδωσες λάθος pass :) Είναι τόσο εύκολο που είναι κρίμα
να μην το δοκιμάσω

ξέρει κανείς κάτι για αυτά:
 1) Πως μπορώ να κάνω detect αν κάποιος μου κάνει nmap myaddress για
να βρει όλες τις open ports?
 2) SOLVED
 3) υπάρχει κανένας τρόπος να απαντά στις περισσότερες ή σε όλες τις
πόρτες κάποιο προγραμματάκι που επίσης απλά θα καθυστερεί τα probes?

-- 
"The software is licensed, not sold" -- MICROSOFT LICENSE TERMS