ssh probing

[Christos Ricudis]

Antonis Sidiropoulos wrote:
> O/H Nick Demou έγραψε:
>> Σε φρεσκοστημένο linux server σε 48 ώρες είδα 5.784 αποτυχημένες 
>> προσπάθειες αγνώστων να συνδεθούν μέσω ssh (2 προσπάθειες ανά 
>> δευτερόλεπτο!)
>>
>> Βλέπει κανείς άλλος τέτοια "ένταση" στα probes για ssh connection?
> Ουυυυ... χαμός γίνεται. Βέβαια αν τα passwords είναι καλά, τότε το 
> μόνο σπαστικό είναι τα μεγάλα logs και το reporting.
> Anyway,
> στην σελίδα
> http://delab.csd.auth.gr/~asidirop/watch/watching
> είναι ένα scriptaki το οποίο παρακολουθεί το /var/log/secure και 
> χρησιμοποιώντας το iptables
> κόβει IPs για συγκεκριμένο χρόνο.
> time = (attempts-2)^2
> από το δεύτερο attempt και μετά.
> Κάθε 1 ώρα κάνει reset τους μετρητές. 

Epeidh eixa arketo apo ayto poy skotwse th gata, ka8hsa kai skarwsa ena 
goatse-open sshd poy dexetai login me opoiodhpote username/password pair 
kai katagrafei to unencrypted session, gia na dw ti 8a kanei to 
bruteforce SSH script molis kataferei na kanei login kapou.

Symperasma apo ta 4-5 pou exw piasei ws twra : Den kanei apolytws tipote 
- apla dokimazei na synde8ei kai kleinei to connection (kai profanws 
stelnei ki ena report se kapoion ti katafere na tsimphsei apo correct 
username/password pairs).

8a to afhsw akoma merikes meres gia na dw mpas kai kanei tipote kanenas 
endexomenos kapoios.

-- 
Christos Ricudis - 687474703a2f2f74696e7975726c2e636f6d2f7072726d336f