ssh probing

[Giorgos Keramidas]

On Tue, 9 Jun 2009 12:26:15 +0300, Nick Demou <ndemou at gmail.com> wrote:
> Σε φρεσκοστημένο linux server σε 48 ώρες είδα 5.784 αποτυχημένες προσπάθειες
> αγνώστων να συνδεθούν μέσω ssh (2 προσπάθειες ανά δευτερόλεπτο!)
>
> Βλέπει κανείς άλλος τέτοια "ένταση" στα probes για ssh connection?
>
> Φυσικά άλλαξα την default πόρτα μιας και στην περίπτωση μου ήταν πολύ εύκολο
> και ανώδυνο αλλά αναρωτιέμε:
>
>  1) Πως μπορώ να κάνω detect αν κάποιος μου κάνει nmap myaddress για να βρει
> όλες τις open ports?
>  2) υπάρχει κανένας τρόπος να απαντά στην πόρτα 22 ένας fake sshd server
> μόνο και μόνο για να καθυστερεί τους crackers (όχι για μένα για τον
> φουκαριάρη τον server σας :-)
>  3) υπάρχει κανένας τρόπος να απαντά στις περισότερες ή σε όλες τις πόρτες
> κάποιο προγραμματάκι που επίσης απλά θα καθυστερεί τα probes?

Υπάρχει rate-limiting.  Στο modem μου έχω ανοιχτό το ssh port και mapped
προς το σταθερό IP του laptop.  Στο `/etc/pf.conf' μου έχω:

    pass inet proto tcp from any to any port = 22 flags S/SA keep state \
             (max-src-conn 10, max-src-conn-rate 5/3, \
              overload <bruteforce> flush global)

Το αποτέλεσμα μετά από μερικές ώρες uptime είναι κάτι σαν:

    root at kobe:/root# pfctl -t bruteforce -T show
       60.251.30.58
       60.251.30.47
    root at kobe:/root#

> [log]# grep  "Failed pass.* from "  secure | sed -e "s/^.*::ffff://" -e "s/
> .*$//" | sort | uniq -c | sort -n
>       3 194.165.4.142
>      12 60.12.193.134
>      15 65.126.120.25
>      28 221.194.128.66
>      32
>      69 60.10.140.13
>      93 200.45.249.25
>      97 67.169.97.174
>     373 212.24.175.173
>    2027 74.86.131.173
>    3037 79.142.192.157
> (^^^^μερικοί είναι επίμονοι)

Γι αυτούς τους επίμονους υπάρχει το «μετά τις πρώτες 10 αποτυχημένες
προσπάθειες φάε το <bruteforce> table στη μάπα για μερικές μέρες».

Γενικά δες και τι κάνουν τα utilities τύπου DenyHosts.