ssh probing

Tue Jun 9 17:39:50 EEST 2009

O/H Nick Demou έγραψε:
> Σε φρεσκοστημένο linux server σε 48 ώρες είδα 5.784 αποτυχημένες 
> προσπάθειες αγνώστων να συνδεθούν μέσω ssh (2 προσπάθειες ανά 
> δευτερόλεπτο!)
>
> Βλέπει κανείς άλλος τέτοια "ένταση" στα probes για ssh connection?
Ουυυυ... χαμός γίνεται. Βέβαια αν τα passwords είναι καλά, τότε το μόνο 
σπαστικό είναι τα μεγάλα logs και το reporting.
Anyway,
στην σελίδα
http://delab.csd.auth.gr/~asidirop/watch/watching
είναι ένα scriptaki το οποίο παρακολουθεί το /var/log/secure και 
χρησιμοποιώντας το iptables
κόβει IPs για συγκεκριμένο χρόνο.
time = (attempts-2)^2
από το δεύτερο attempt και μετά.
Κάθε 1 ώρα κάνει reset τους μετρητές.

Μπορείς να το βάλεις στα services του μηχανήματος με το 
http://delab.csd.auth.gr/~asidirop/watch/swatch

>
> Φυσικά άλλαξα την default πόρτα μιας και στην περίπτωση μου ήταν πολύ 
> εύκολο και ανώδυνο αλλά αναρωτιέμε:
>
>  1) Πως μπορώ να κάνω detect αν κάποιος μου κάνει nmap myaddress για 
> να βρει όλες τις open ports?
>  2) υπάρχει κανένας τρόπος να απαντά στην πόρτα 22 ένας fake sshd 
> server μόνο και μόνο για να καθυστερεί τους crackers (όχι για μένα για 
> τον φουκαριάρη τον server σας :-)
>  3) υπάρχει κανένας τρόπος να απαντά στις περισότερες ή σε όλες τις 
> πόρτες κάποιο προγραμματάκι που επίσης απλά θα καθυστερεί τα probes?
>
> για τους περίεργους μερικά στατιστικά από τα logs μου αλλά πρώτα μια 
> στενάχωρη είδηση: έκανα
>
> [~]# cd /var/log
>
> [log]# grep  "Failed pass.* from "  secure | sed -e "s/^.*::ffff://" 
> -e "s/ .*$//" | sort | uniq -c | sort -n
>       3 194.165.4.142
>      12 60.12.193.134
>      15 65.126.120.25
>      28 221.194.128.66
>      32 
>      69 60.10.140.13
>      93 200.45.249.25
>      97 67.169.97.174
>     373 212.24.175.173
>    2027 74.86.131.173
>    3037 79.142.192.157
> (^^^^μερικοί είναι επίμονοι)
>
> [log]# grep  "Failed pass.* from "  secure | grep -v root | sed -e 
> "s/^.*::ffff://" -e "s/ .*$//" | sort | uniq -c | sort -n
>       2 194.165.4.142
>       2 60.12.193.134
>       2 65.126.120.25
>       5 221.194.128.66
>      58 200.45.249.25
>      65 67.169.97.174
>     211 212.24.175.173
>    1623 74.86.131.173
>    2929 79.142.192.157
> (το root pass είναι το αγαπημένο των περισσοτέρων)
>
> [log]# grep 79.142.192.157 secure | grep "Failed pass" | sed -e 
> "s/^.*password for //" -e "s/from .*$//" | sort | uniq -c | sort -n | tail
>      90 invalid user abcd
>      92 invalid user abc
>      94 invalid user abcde
>      97 root
>     113 invalid user zxcvb
>     117 invalid user 1234
>     122 invalid user qwerty
>     127 invalid user 123
>     137 invalid user 12345
>     154 invalid user 123456
> (ήθελα να ξερα ποιος έχει τέτοια usernames και αξίζει τον κόπο να 
> δοκιμάζουν τόσο πολύ πάνω τους???)
>
> -- 
> "The software is licensed, not sold" -- MICROSOFT LICENSE TERMS
> ------------------------------------------------------------------------
>
>
>