.

AbcLinuxu:/ Blogy / blog / asdgf / .

Štítky: antiviry, Apache, ClamAV, databáze, desktop, FTP, HTML, Instant messaging, Internet, Jabber, Java, kernel, Linux, MTA, MySQL, Oracle, Postfix, programování, proxy, sítě, software, souborové systémy, SSH, TELNET, Unix, web, Windows, XFS

.

19.12.2007 21:00 | asdgf | poslední úprava: 26.11.2009 20:42

Hodnocení: 26 %

špatné • dobré

Anketa

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (3) ? , Tisk

Vložit další komentář

19.12.2007 21:04 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Odpovědět | Sbalit | Link | Blokovat | Admin

Stačí filtrovat spojení z asijských zemí jako Korea, Čína, Taiwan apod., o hodně to sníží množství podobných "útoků".

19.12.2007 21:32 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Mohl bys sem hodit nějaký link, kde by se nechaly sehnat rozsahy IP adres?

Quando omni flunkus moritati

19.12.2007 21:39 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

+1, to bych ocenil a použil

19.12.2007 22:51 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter

20.12.2007 00:30 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Dík

Quando omni flunkus moritati

20.12.2007 00:05 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Mě se osvědčilo pouhé omezení na jedno nové spojení za sekundu:

iptables -A syn_flood -p tcp --dport 22 -m limit --limit 1/s --limit-burst 1 -j RETURN

(Nová ne-SYN TCP spojení jsou zahozena a všechno ostatní prochází syn_floodem). Dlouho byly všechny Authentication failure v logu jen moje překlepy v hesle, teď se vyskytly za poslední dva měsíce dokonce dva útoky - celkem závratných 184 řádků v logách. :-)

Boti se s touto konfigurací ani nesnaží o kulometnou palbu a s dalším pokusem čekají desítky sekund až minuty.

oVirt | SPICE

20.12.2007 00:18 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Cimz sis vyrobil peknou diru pro DoS utok, ne?

20.12.2007 02:10 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Zvažoval jsem to. Pak jsem si řekl, že chvilková nedostupnost při probíhajícím DoS útoku mi nevadí, ale za to by mi silně vadilo, kdybych se nemohl připojit, protože by se IP aktuálního počítače dostala na blacklist. Přes connlimit by to bylo lepší, nicméně takto to funguje už dva a půl roku to velmi dobře a nechce se mi to předělávat. ;-)

oVirt | SPICE

19.12.2007 21:11 Scarabeus IV | skóre: 20 | blog: blogisek_o_gentoo | Praha
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Odpovědět | Sbalit | Link | Blokovat | Admin

Aspon si nastav fail2ban nebo neco takoveho, usetris aspon misto v logu.
Nastavis tam treba 2 spatna zadani po sobe ban na 2 hodinky a je to...

19.12.2007 21:35 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Před nějakým časem tady vyšel blog o nějakém modulu pro PAM, který tohle dělal. Útočníkovi se po zabanování dále dařilo spojit se s ssh démonem, ale ten modul mu už po několika špatných pokusech neuznal ani správné heslo.

Když jsem na to ale nedávno koukal, nezdálo se mi, že by to byl nějak živý projekt.

Quando omni flunkus moritati

19.12.2007 21:41 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

ja som pocul pekne slova o ipt_recent, ale autor asi nema netfilter ;)

19.12.2007 21:54 Scarabeus IV | skóre: 20 | blog: blogisek_o_gentoo | Praha
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

po pravde ja nechci banovat cele rozsahy, slusni lide jsou vsude, ale jen ty kteri delaji neco nekaleho a pokud si prectete co vsechno dela fail2ban tak by se vam to mohlo vsem libit
http://www.fail2ban.org/

19.12.2007 21:58 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Lepší je nastavit MRTG (sledovat rychlost růstu auth.log) a kochat se kopečkama...

Hello world ! Segmentation fault (core dumped)

19.12.2007 21:27 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Odpovědět | Sbalit | Link | Blokovat | Admin

To nedělá člověk, tohle dělá nějaký bot-net a hledá takto další členy. Jednou jsem řešil nějaký problém u zákazníka (reinstall serveru), chtěl jsem se připojit k sobě domů (ssh) a nešlo to. Běžely u něj podivné procesy, co permanentně odesílaly něco po síti. (Nezjišťoval jsem co, stejně to čekalo format disku). Doma jsem následně zjistil, že ajpina zákazníka skončila v hosts.deny po zásahu denyhostu.

Heron

19.12.2007 21:41 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Ten denyhost vypada zajimave, minimalne to zkusim.

19.12.2007 22:19 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

denyhosts je dobrý. Kromě normálního režimu činnosti (lokální banování útočníků) lze použít i tzv. synchronizovaný režim, kdy se banované adresy sdílejí mezi uživateli programu (aktuálně 27000 uživatelů) prostřednictvím databáze na denyhosts.net. Pak je server chráněn proti potenciálním útočníkům už předem.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

19.12.2007 23:09 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Přesně tak. Obvykle se jedná o napadené staré neudržované stroje (to jsou ti debianisti, co tvrdí cosi o fungujících věcech). Stačí se připojit na TCP/22 a druhá strana ochotně poví verzi OpenSSH, OpenSSL a možná i druh distribuce.

Já mám nasazené automatické blokovaní a hlášení po jabberu. A pokud útok přichází z civilizované země, tak si i stěžuji mailem.

Asi nejcivilizovanější jsou ve Finsku, neb tamní ISP byl velmi hovorný a v 3. mailu mi poslal tuto zprávu:

Our customer informed us yesterday that this abuse problem has beens solved. Cracked computer was the reason. Customer improved also their firewall to avoid these in the future. Over all customer acted as a very good example how these things should be dealed cause their contacted personaly to every whois abuse contact which were cracked by their computer... which I must say is a very good thing to see =)

To člověku v boji s větrnými mlýny hned zvedne náladu.

20.12.2007 01:12 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Přesně tak. Obvykle se jedná o napadené staré neudržované stroje (to jsou ti debianisti, co tvrdí cosi o fungujících věcech).

Nekdy mlceti zlato.

Stačí se připojit na TCP/22 a druhá strana ochotně poví verzi OpenSSH, OpenSSL a možná i druh distribuce.

A nekdy naopak ne.

20.12.2007 09:02 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Stačí se připojit na TCP/22 a druhá strana ochotně poví verzi OpenSSH, OpenSSL a možná i druh distribuce.
A nekdy naopak ne.

Hmm... já zrovna na serveru používám Debian a jak vidím, tak OpenSSH pěkně a ochotně sděluje kromě své verze i jméno distribuce.

Díval jsem se, jak to přenastavit, ale kromě rekompilace (nebo editace binárky - fuj!) jsem žádnou možnost neobjevil. BSD systémy mají alespoň volbu "VersionAddendum", ale ta v Debianu není.

Docela by mne zajímalo, jak moc veliký bezpečnostní problém tento únik informací představuje, zejména pak, pokud mám aktuální systém (Etch) a pravidelně (denně) aktualizuji.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

20.12.2007 09:26 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Podle mě žádný. Riziko by to mohlo představovat pouze tehdy, pokud se pokouší útočit skrze bug některé profláknuté verze.

Můj venkovní server se také už několik měsíců někdo pokouší nabourat skrz ssh, ale zatím to neřeším. Uvažoval jsem o něčem jak už tady bylo zmíněno, jenže riziko že bych se pak nemusel na ten stroj dostat je vyšší, než že ho někdo nabourá. Jo kdybych na něm seděl a mohl si problém vyřešit sám, proč ne. Jenže on je dedikován kdesi v matrixu a už pomalu ani netuším kam bych měl zavolat, kdyby po restartu náhodou nenajela síť ;-)

20.12.2007 11:22 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Linuxovi uzivatele tolik broji proti "security by obscurity" a naraz to nekomu vadi? Skryvani identity je kravina, zastavi maximalne tak lamky a ty lze zastavit rozumnejsim zpusobem. Jinak samozrejme Debian je aktualizovan vuci bezpecnostnim chybam docela obstojne.

20.12.2007 11:41 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

tiez sa divim, ze tu este nikto nespomenul na vsetky tie obskurne rady spojenie "security by obscurity"

ze by rezignacia?

20.12.2007 12:18 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Také jsem dospěl k závěru, že tohle je spíše security by obscurity. Banner nijak vlastní zranitelnost služby neovlivní. Pokud je služba zranitelná, pomůže aktualizace a ne změna banneru. A pokud zranitelná není, tak podle mne není moc způsobů, jak informace z něj zneužít. Ale já nejsem expert, tak se raději zeptám.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

22.12.2007 13:35 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Skryvani identity je kravina

Ale co budu mít jako provozovatel ze zveřejnění používaného SW? A hlavně konkrétní verze?

"security by obscurity" je samozřejmě špatný přístup a nikdy bychom se na něj neměli spoléhat, ale: systém bychom měli navrhnout tak, aby byl bezpečný bez jakýchkoli obscurit a věřili jsme mu. Následně pak můžeme některé skutečnosti zakrýt, abychom bezpečnost systému zvýšili ještě dále nad požadovanou úroveň (přičemž na požadované úrovni bezpečnosti by ten systém měl být i bez jakýchkoli schovávaček).

Když máme bezpečný systém a rozhodujeme se, zda přidat ještě nějaké skrývání identity, máme na vahách na jedné straně nulové přínosy (z neskrývání) a na druhé straně pochybné a malé přínosy (ze skrývání). A je jasné, že něco, i když jakkoli malého, bude vážit více než nic. Proto považuji za chybu, když OpenSSH server vykecá verzi operačního systému.

V době mezi objevením chyby a vydáním opravy (resp. aktualizací aplikace) prozrazení přesné verze programu zvyšuje pravděpodobnost průniku do systému.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

22.12.2007 16:13 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

V době mezi objevením chyby a vydáním opravy (resp. aktualizací aplikace) prozrazení přesné verze programu zvyšuje pravděpodobnost průniku do systému.

Vzhledem k tomu, že bannery se dají falšovat a útočníci to vědí, lze předpokládat, že zkušenější útočník se pokusí využít mnoha dostupných zranitelností bez ohledu na banner. A hloupý útočník se zase třeba na bannery vůbec dívat nebude a prostě jen zkusí nějaký exploit. A ono to třeba vyjde. Čili, dopad pravdivosti banneru na pravděpodobnost průniku do systému je IMO značně spekulativní.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

23.12.2007 00:36 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Jasně že ty přínosy jsou pochybné a malé, ale každopádně jsou lepší než nic (nula).
Kolik lidí si tu identifikaci změní, když kvůli tomu musejí překompilovat OpenSSH? Já to taky nedělám (ale jen kvůli tomu, že SSH nemám přístupné z Internetu)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

23.12.2007 11:05 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Zkuste si prostudovat, jak OpenSSH zahajuje komunikaci a proc je pro nej prinosnejsi, kdyz vi, kdo je na protistrane.

23.12.2007 17:50 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Vím jak ta komunikace vypadá. Jde mi o tohle: SSH-2.0-OpenSSH_4.6p1 Debian-5build1. Opravdu si myslíš, že druhá strana musí vědět, že používám Debian, aby se mnou mohla komunikovat??

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

23.12.2007 20:30 Milan Jurik | skóre: 21 | blog: Komentare | Ova
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Ne, jenze co ma vyznam vedet, ze tam je Debian? Podstatna je verze OpenSSH, proti ktere je treba najit pripadne problemy.

23.12.2007 22:00 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Debian v banneru SSH může mít i jistý pozitivní vliv:

It helps auditing a large farm of Debian machines.
For example, there is currently no reliable way to remotely tell if a box running OpenSSH 1.2.3 is using an up-to-date Debian version with the security fix. An attacker will simply try all his exploits and move to the next machine if they are unsuccesful. The good guys can do that, too, but they cannot be sure if they just got the offsets wrong or something like that, so that the machine is vulnerable despite the attack was not successful.

A samozřejmě, pokud vyjde nová verze OpenSSH s opravenou bezpečnostní chybou, Debian stable nepovýší verzi balíčku, ale opatchuje stávající verzi OpenSSH. Takže v banneru zůstane stará verze, o které se bude útočník moci domnívat, že je zranitelná, a pokusí se ji napadnout. Pokud tam ovšem uvidí, že se jedná o Debian, který opravu chyby backportoval do této starší verze, může jít jinam a nebude zbytečně zatěžovat server. Pokud tedy banneru věří. Ovšem takový útočník bude útočit i v případě, že v banneru zmínka o Debianu nebude.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

19.12.2007 21:35 Dent | skóre: 21 | blog: Standovo
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Odpovědět | Sbalit | Link | Blokovat | Admin

Nejdelší blog na abclinuxu.cz? :))

19.12.2007 21:39 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

I to je možný, ale nebylo to původně zamýšleno ;-)

19.12.2007 21:42 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

tak zazipuj + base64

20.12.2007 12:52 rastos | skóre: 63 | blog: rastos
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Ako keby nestačilo napísať:

Dec 18 09:15:10 ssh sshd[1762]: Failed password for invalid user sleeper from 60.250.118.78 port 40749 ssh2
Dec 18 09:15:14 ssh sshd[1764]: Nasty PTR record "60" is set up for 60.250.118.78, ignoring
Dec 18 09:15:14 ssh sshd[1764]: User root from 60.250.118.78 not allowed because not listed in AllowUsers

... a to sa opakuje pre 400 rôznych IP adries.

20.12.2007 13:38 disorder | blog: weblog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

klamat?

19.12.2007 22:05 Jan Drábek | skóre: 41 | blog: Tartar | Brno
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Odpovědět | Sbalit | Link | Blokovat | Admin

Zajimavý, já měl server s veřejnou IP jel od rána až do večera - 16 hodin - na ssh ani jiné služby jsem zvlášťní útoky nikdy nezažil.

Btw. jeden typ útoku předpokládá nejprve přehlcení logu až do velikosti disku (proto je dobré nemít disk /var/log - či jaký v / ale na externím oddílu) a potom se systém začne chovat podivně ať už je v chrootu (...) nebo ne...

01010010 01000101 01010000 01101100 01001001 00110010 01000100 01100101 01010110

19.12.2007 22:11 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Až budu mít chvilku času, tak si přes crona hodím posílání starých logů na mail, a zároveň jejich mazání. Ale nemyslím si, že toto by byl právě ten typ útoků, tento "útok" trval jenom asi 45 minut. Myslím, že by toho bylo potřeba výrazně víc.

19.12.2007 22:14 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Já provozoval SSH honeypot (kojoney) na serveru s veřejnou IP. A řadu "úspěšných" útoků i s pokusy nainstalovat na server nějaké svinstvo jsem zažil.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

19.12.2007 22:16 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

A to využili bezpečností díru, nebo prostě "uhádli login a password" ??

19.12.2007 23:15 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Jednalo se o _honeypot_, takže uhádli login a heslo, což bylo samozřejmě velmi jednoduché (Kojoney má databázi mnoha obvyklých jmen a hesel).

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

19.12.2007 22:07 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Odpovědět | Sbalit | Link | Blokovat | Admin

Jak se těchto automatizovaných útoků zbavit? Přehodit SSH na jiný port, port knocking, ssh-faker, apod. Dá se také zakázat ověřování heslem a používat jen klíče.

A co tím útočníci získají? I když získají "jen" neprivilegovaný účet v chrootu, mají přece celou řadu možností, jak toho využít. Odesílání spamu, DDoS, atd.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

19.12.2007 22:13 unknown_ | skóre: 30 | blog: blog
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Hm, to přehození portu mě nenapadlo, je to zajímavej nápad. Nastavím a uvidím ;-)

19.12.2007 22:40 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Já si na domácím routeru (wl-500gP) nastavil pravidla do iptables a mám klid. Během útoku se router stal nepoužitelný, nestíhal ani obsloužit všechny příchozí spojení :-(

Útoky většinou přicházely v noci a trvaly kolem hodiny.

# Block SSH brutal force attack
insmod ipt_recent
iptables -N SSHSCAN
iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j SSHSCAN
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSHSCAN
iptables -A SSHSCAN -m recent --set --name SSH
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 5 --name SSH -j LOG --log-level info --log-prefix "SSH SCAN blocked: "
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 5 --name SSH -j DROP
iptables -A SSHSCAN -j ACCEPT

19.12.2007 23:20 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Já svůj domácí router nastavuji tak, že přesměruji určité porty na svůj domácí server. SSH provozuji, ale na jiném portu (přesněji, na serveru je SSH na portu 22, ale router na něj přesměrovává jeden ze svých vyšších portů).

Port 22 jako takový jsem svého času přesměrovával na honeypot, pak jsem zkusil tarpit a nyní prostě nic nepřesměrovávám a nechávám příslušné pakety routerem zahazovat. Automatizované útoky jsou většinou zaměřené výhradně na port 22, takže jeho "přemístěním" jsem dosáhl eliminace těchto útoků.

SSH jako takové pak ještě chráním podobně jako vy.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

20.12.2007 11:10 satanatas | skóre: 14 | blog: vše co můžete s klidem hodit za hlavu ze světa linuxu i jiných světů | Graveyard
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

jojo, k*vy jedni boti :+). taky jsme měli na servu jednu takovou potvoru, několik měsíců se v logu vyskytovali tyto hlášky, ale nikomu se tam nepodařilo nabourat. přicházeli z celé Evropy a Ameriky. pak stačilo přidat jeden účet, nastavit mu slabé heslo a hned byl život veselejší :+) jo ale sshčko poslouchalo na portu 2222 a stejně se o to pokoušeli i na tomto portu.

"Smoke me a kipper, I'll be back for breakfast!" - Ace Rimmer || gentoo infected. || the city of kremathorium || ZLO

20.12.2007 12:29 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Skenovat celý rozsah portů u každého cíle ze zvoleného rozsahu IP adres asi boti moc dělat nebudou. V tomto případě bych spíše uvažoval nad tím, že příslušný bot měl v zásobě pár alternativ, kde by ještě SSH port mohl být. A port 2222 k zařazení do takového seznamu alternativ přímo vybízí.

Můj SSH port zatím ještě nikdo neobjevil. Ale faktem je, že pokud je bot chytřejší a nejprve si osahá (všechny) porty cíle, pak ten pravý SSH port objeví. Proto je vhodné ten správný port ještě nějak dále chránit (fail2ban, denyhosts, iptables+recent/limit, apod.).

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

20.12.2007 22:30 koulinek | skóre: 19 | blog: koulonet
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Ja si SSH na domaci serverik prostuchuju na firewallu portforwarderem jen z nekolika konkretnich verejnych IP + rozsah co prideluje O2 na CDMA a zbytek pokusu o TCP22 v tichosti zahazuju.

Motto: "Lépe býti dvanácti souzený, než šesti nesený."

21.12.2007 23:24 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Proč to dělá? + anketa

Presne tak, kazdej server se hodi na leechovani na irc. :-)

Please rise for the Futurama theme song.

Založit nové vlákno • Nahoru