[BSD] beprobalkozasok ssh -n

pwmosquito pwmosquito at szendezs.com
2008. Nov. 25., K, 00:30:45 CET 

Elsore ip spoofingnak hangzik, de nem ertem, hogy elvileg az ssh auth az 
a tcp handshake utan jon csak letre, es afaik
az nem megy spoofed ip-vel.
Lehet valami botnet a te gepedre palyazik :)


Péchy Gáspár wrote:
> hmm, ez nem is vicc... bruteforce-ot el lehet feledni. Újra engedtem a pf-en a 22-es portra minden 
> IP-t, komótosan megy végig az abc-n ( e.g. ...bethan, bethany, bethesda, betrys... ) úgy percenként 
> 1 próba, IP-k ..nem is tudom, de akár többszáz különböző is lehet. Nekem legalábbis új technikának 
> tűnik.
>
>
>
> Péchy Gáspár írta:
>   
>> pont a múlt héten vettem észre at auth logban, 2 napja szinte csak a root-ra próbálkozás, más és más 
>> ip címekkel, cca 2db/perc.
>> tcpdump azt mutatta, 4 csomag ( gondolom míg az auth eldobta ) és semmi tobb egy címről.
>>
>> lehet esetleg az IP-t hackelni, vagy mifene ?
>>
>> Üdv,
>> Gazsi
>>
>> pwmosquito írta:
>>     
>>> # touch /etc/pf_bad_hosts
>>> # vi /etc/pf.conf
>>> table <bad_hosts> persist file "/etc/pf_bad_hosts"
>>> block in log quick on $ext_if from <bad_hosts> to any
>>> pass in log on $ext_if proto tcp from any to $ext_addr port 22 flags 
>>> S/SA synproxy state \
>>>     (max-src-conn-rate 10/5, overload <bad_hosts> flush global)
>>> # pfctl -f /etc/pf.conf
>>>
>>> Ebben a peldaban ha valaki 10szer probalkozik 5 masodpercen belul, akkor 
>>> megy a tiltolistara. A ratiot szajiz szerint finomithatod.
>>> Aztan pl irhatsz egy kis scriptet, ami ezt a file-t tisztitja, vagy ilyesmi.
>>>
>>> Aumgy en mindig custom high porton futtatom az ssh-t, es igy gyak. 0 az 
>>> ilyen probalkozasok szama.
>>>
>>>
>>> Fazekas Mihály wrote:
>>>       
>>>> Sziasztok,
>>>>
>>>> Felfedeztem a log -okban, hogy kulonbozo ip cimekrol tortennek
>>>> "beprobalkozasok".
>>>> Eleg gyenge akciok, de azert nem szeretnem felvallrol venni.
>>>> Az, hogy a pf -ben kitiltom az adott cimeket, az egy dolog.
>>>>
>>>> Hogy tudnam azt megoldani (egyszeruen), hogy ha pl. 1 ip cimrol
>>>> jon x db "Invalid user" y idon belul, akkor z idore felejtse el
>>>> az adott ip -t? (mindenfele manualis beavatkozas nelkul)
>>>>
>>>>   
>>>>         
>>> _______________________________________________
>>> BSD levlista
>>> BSD at hu.freebsd.org
>>> http://www.hu.freebsd.org/hu/mailman/listinfo/bsd
>>>
>>>       
>> _______________________________________________
>> BSD levlista
>> BSD at hu.freebsd.org
>> http://www.hu.freebsd.org/hu/mailman/listinfo/bsd
>>
>>     
>
>
> _______________________________________________
> BSD levlista
> BSD at hu.freebsd.org
> http://www.hu.freebsd.org/hu/mailman/listinfo/bsd
>

További információk a(z) BSD levelezőlistáról