[BSD] beprobalkozasok ssh -n

Péchy Gáspár gpechy at ggg.hu
2008. Nov. 25., K, 00:40:42 CET 

Szvsz másokéra is, csak a sok egyéb mellett tán nem tűnik fel. Nem spoofingnak tűnik ( percenként 1 
próba ) inkább jól megszervezett akciónak. Magyar "tag" is van, valani CSUCS-NET usere.

pwmosquito írta:
> Elsore ip spoofingnak hangzik, de nem ertem, hogy elvileg az ssh auth az 
> a tcp handshake utan jon csak letre, es afaik
> az nem megy spoofed ip-vel.
> Lehet valami botnet a te gepedre palyazik :)
> 
> 
> Péchy Gáspár wrote:
>> hmm, ez nem is vicc... bruteforce-ot el lehet feledni. Újra engedtem a pf-en a 22-es portra minden 
>> IP-t, komótosan megy végig az abc-n ( e.g. ...bethan, bethany, bethesda, betrys... ) úgy percenként 
>> 1 próba, IP-k ..nem is tudom, de akár többszáz különböző is lehet. Nekem legalábbis új technikának 
>> tűnik.
>>
>>
>>
>> Péchy Gáspár írta:
>>   
>>> pont a múlt héten vettem észre at auth logban, 2 napja szinte csak a root-ra próbálkozás, más és más 
>>> ip címekkel, cca 2db/perc.
>>> tcpdump azt mutatta, 4 csomag ( gondolom míg az auth eldobta ) és semmi tobb egy címről.
>>>
>>> lehet esetleg az IP-t hackelni, vagy mifene ?
>>>
>>> Üdv,
>>> Gazsi
>>>
>>> pwmosquito írta:
>>>     
>>>> # touch /etc/pf_bad_hosts
>>>> # vi /etc/pf.conf
>>>> table <bad_hosts> persist file "/etc/pf_bad_hosts"
>>>> block in log quick on $ext_if from <bad_hosts> to any
>>>> pass in log on $ext_if proto tcp from any to $ext_addr port 22 flags 
>>>> S/SA synproxy state \
>>>>     (max-src-conn-rate 10/5, overload <bad_hosts> flush global)
>>>> # pfctl -f /etc/pf.conf
>>>>
>>>> Ebben a peldaban ha valaki 10szer probalkozik 5 masodpercen belul, akkor 
>>>> megy a tiltolistara. A ratiot szajiz szerint finomithatod.
>>>> Aztan pl irhatsz egy kis scriptet, ami ezt a file-t tisztitja, vagy ilyesmi.
>>>>
>>>> Aumgy en mindig custom high porton futtatom az ssh-t, es igy gyak. 0 az 
>>>> ilyen probalkozasok szama.
>>>>
>>>>
>>>> Fazekas Mihály wrote:
>>>>       
>>>>> Sziasztok,
>>>>>
>>>>> Felfedeztem a log -okban, hogy kulonbozo ip cimekrol tortennek
>>>>> "beprobalkozasok".
>>>>> Eleg gyenge akciok, de azert nem szeretnem felvallrol venni.
>>>>> Az, hogy a pf -ben kitiltom az adott cimeket, az egy dolog.
>>>>>
>>>>> Hogy tudnam azt megoldani (egyszeruen), hogy ha pl. 1 ip cimrol
>>>>> jon x db "Invalid user" y idon belul, akkor z idore felejtse el
>>>>> az adott ip -t? (mindenfele manualis beavatkozas nelkul)
>>>>>
>

További információk a(z) BSD levelezőlistáról