abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    OpenSSH 10.1
    dnes 12:22 | Nová verze

    Byla vydána nová verze 10.1 sady aplikací pro SSH komunikaci OpenSSH. Uživatel je nově varován, když se nepoužívá postkvantová výměna klíčů.

    Ladislav Hagara | Komentářů: 0
    Videozáznamy z LinuxDays 2025
    včera 20:00 | Komunita

    Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

    Ladislav Hagara | Komentářů: 0
    Turris Omnia NG
    4.10. 15:22 | IT novinky

    Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

    Ladislav Hagara | Komentářů: 22
    Přímý přenos z LinuxDays 2025
    4.10. 05:22 | Komunita

    Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

    Ladislav Hagara | Komentářů: 11
    Soud zrušil rekordní pokutu pro Avast
    3.10. 22:44 | IT novinky

    V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

    … více »
    Ladislav Hagara | Komentářů: 6
    Google Chrome 141
    3.10. 19:00 | Nová verze

    Google Chrome 141 byl prohlášen za stabilní. Nejnovější stabilní verze 141.0.7390.54 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 21 bezpečnostních chyb. Za nejvážnější z nich (Heap buffer overflow in WebGPU) bylo vyplaceno 25 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    eDoklady mají kvůli vysoké zátěži technické potíže
    3.10. 17:11 | Upozornění

    eDoklady mají kvůli vysoké zátěži technické potíže. Ministerstvo vnitra doporučuje vzít si sebou klasický občanský průkaz nebo pas.

    Ladislav Hagara | Komentářů: 22
    Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling
    3.10. 17:00 | Komunita

    Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling.

    Ladislav Hagara | Komentářů: 1
    Vývoj webového prohlížeče Ladybird (09/2025)
    3.10. 14:33 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za září (YouTube).

    Ladislav Hagara | Komentářů: 0
    Vyšla kniha Počítačové programy a autorské právo
    3.10. 12:33 | Upozornění

    Vyšla kniha Počítačové programy a autorské právo. Podle internetových stránek nakladatelství je v knize "Významný prostor věnován otevřenému a svobodnému softwaru, jeho licencím, důsledkům jejich porušení a rizikům „nakažení“ proprietárního kódu režimem open source."

    javokajifeng | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (38%)
     (45%)
     (16%)
     (18%)
     (21%)
     (15%)
     (18%)
     (16%)
     (16%)
    Celkem 177 hlasů
     Komentářů: 12, poslední 4.10. 20:35
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Blogy / blog / . / Proč to dělá? + anketa (diskuse)
    Štítky: AbcLinuxu, bezpečnost, BSD, CDMA, databáze, Debian, distribuce, firewally, Internet, iptables, IRC, KDE, komunikace, monitorování, MRTG, SSH, textové editory, Vim

    Nástroje: Začni sledovat (3) ?Zašle upozornění na váš email při vložení nového komentáře.

    Vložit další komentář
    Luboš Doležel (Doli) avatar 19.12.2007 21:04 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Stačí filtrovat spojení z asijských zemí jako Korea, Čína, Taiwan apod., o hodně to sníží množství podobných "útoků".
    19.12.2007 21:32 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Mohl bys sem hodit nějaký link, kde by se nechaly sehnat rozsahy IP adres?
    Quando omni flunkus moritati
    unknown_ avatar 19.12.2007 21:39 unknown_ | skóre: 30 | blog: blog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    +1, to bych ocenil a použil
    Luboš Doležel (Doli) avatar 19.12.2007 22:51 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter
    20.12.2007 00:30 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Dík
    Quando omni flunkus moritati
    20.12.2007 00:05 David Jaša | skóre: 44 | blog: Dejvův blog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Mě se osvědčilo pouhé omezení na jedno nové spojení za sekundu: 
    iptables -A syn_flood -p tcp --dport 22 -m limit --limit 1/s --limit-burst 1 -j RETURN
    (Nová ne-SYN TCP spojení jsou zahozena a všechno ostatní prochází syn_floodem). Dlouho byly všechny Authentication failure v logu jen moje překlepy v hesle, teď se vyskytly za poslední dva měsíce dokonce dva útoky - celkem závratných 184 řádků v logách. :-) Boti se s touto konfigurací ani nesnaží o kulometnou palbu a s dalším pokusem čekají desítky sekund až minuty.
    oVirt | SPICE
    20.12.2007 00:18 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Cimz sis vyrobil peknou diru pro DoS utok, ne?
    20.12.2007 02:10 David Jaša | skóre: 44 | blog: Dejvův blog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Zvažoval jsem to. Pak jsem si řekl, že chvilková nedostupnost při probíhajícím DoS útoku mi nevadí, ale za to by mi silně vadilo, kdybych se nemohl připojit, protože by se IP aktuálního počítače dostala na blacklist. Přes connlimit by to bylo lepší, nicméně takto to funguje už dva a půl roku to velmi dobře a nechce se mi to předělávat. ;-)
    oVirt | SPICE
    19.12.2007 21:11 Scarabeus IV | skóre: 20 | blog: blogisek_o_gentoo | Praha
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Aspon si nastav fail2ban nebo neco takoveho, usetris aspon misto v logu.
    Nastavis tam treba 2 spatna zadani po sobe ban na 2 hodinky a je to...
    19.12.2007 21:35 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Před nějakým časem tady vyšel blog o nějakém modulu pro PAM, který tohle dělal. Útočníkovi se po zabanování dále dařilo spojit se s ssh démonem, ale ten modul mu už po několika špatných pokusech neuznal ani správné heslo.

    Když jsem na to ale nedávno koukal, nezdálo se mi, že by to byl nějak živý projekt.
    Quando omni flunkus moritati
    19.12.2007 21:41 disorder | blog: weblog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    ja som pocul pekne slova o ipt_recent, ale autor asi nema netfilter ;)
    19.12.2007 21:54 Scarabeus IV | skóre: 20 | blog: blogisek_o_gentoo | Praha
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    po pravde ja nechci banovat cele rozsahy, slusni lide jsou vsude, ale jen ty kteri delaji neco nekaleho a pokud si prectete co vsechno dela fail2ban tak by se vam to mohlo vsem libit
    http://www.fail2ban.org/
    Josef Kufner avatar 19.12.2007 21:58 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Lepší je nastavit MRTG (sledovat rychlost růstu auth.log) a kochat se kopečkama...
    Hello world ! Segmentation fault (core dumped)
    Heron avatar 19.12.2007 21:27 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    To nedělá člověk, tohle dělá nějaký bot-net a hledá takto další členy. Jednou jsem řešil nějaký problém u zákazníka (reinstall serveru), chtěl jsem se připojit k sobě domů (ssh) a nešlo to. Běžely u něj podivné procesy, co permanentně odesílaly něco po síti. (Nezjišťoval jsem co, stejně to čekalo format disku). Doma jsem následně zjistil, že ajpina zákazníka skončila v hosts.deny po zásahu denyhostu.
    Heron
    unknown_ avatar 19.12.2007 21:41 unknown_ | skóre: 30 | blog: blog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Ten denyhost vypada zajimave, minimalne to zkusim.
    Luk avatar 19.12.2007 22:19 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    denyhosts je dobrý. Kromě normálního režimu činnosti (lokální banování útočníků) lze použít i tzv. synchronizovaný režim, kdy se banované adresy sdílejí mezi uživateli programu (aktuálně 27000 uživatelů) prostřednictvím databáze na denyhosts.net. Pak je server chráněn proti potenciálním útočníkům už předem.
    Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly
    19.12.2007 23:09 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Přesně tak. Obvykle se jedná o napadené staré neudržované stroje (to jsou ti debianisti, co tvrdí cosi o fungujících věcech). Stačí se připojit na TCP/22 a druhá strana ochotně poví verzi OpenSSH, OpenSSL a možná i druh distribuce.

    Já mám nasazené automatické blokovaní a hlášení po jabberu. A pokud útok přichází z civilizované země, tak si i stěžuji mailem.

    Asi nejcivilizovanější jsou ve Finsku, neb tamní ISP byl velmi hovorný a v 3. mailu mi poslal tuto zprávu:
    Our customer informed us yesterday that this abuse problem has beens solved. Cracked computer was the reason. Customer improved also their firewall to avoid these in the future. Over all customer acted as a very good example how these things should be dealed cause their contacted personaly to every whois abuse contact which were cracked by their computer... which I must say is a very good thing to see =)
    To člověku v boji s větrnými mlýny hned zvedne náladu.
    20.12.2007 01:12 Milan Jurik | skóre: 21 | blog: Komentare | Ova
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Přesně tak. Obvykle se jedná o napadené staré neudržované stroje (to jsou ti debianisti, co tvrdí cosi o fungujících věcech).
    Nekdy mlceti zlato.
    Stačí se připojit na TCP/22 a druhá strana ochotně poví verzi OpenSSH, OpenSSL a možná i druh distribuce.
    A nekdy naopak ne.
    Shadow avatar 20.12.2007 09:02 Shadow | skóre: 25 | blog: Brainstorm
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Stačí se připojit na TCP/22 a druhá strana ochotně poví verzi OpenSSH, OpenSSL a možná i druh distribuce.
    A nekdy naopak ne.
    Hmm... já zrovna na serveru používám Debian a jak vidím, tak OpenSSH pěkně a ochotně sděluje kromě své verze i jméno distribuce.

    Díval jsem se, jak to přenastavit, ale kromě rekompilace (nebo editace binárky - fuj!) jsem žádnou možnost neobjevil. BSD systémy mají alespoň volbu "VersionAddendum", ale ta v Debianu není.

    Docela by mne zajímalo, jak moc veliký bezpečnostní problém tento únik informací představuje, zejména pak, pokud mám aktuální systém (Etch) a pravidelně (denně) aktualizuji.
    If we do not believe in freedom of speech for those we despise we do not believe in it at all.
    20.12.2007 09:26 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Podle mě žádný. Riziko by to mohlo představovat pouze tehdy, pokud se pokouší útočit skrze bug některé profláknuté verze.

    Můj venkovní server se také už několik měsíců někdo pokouší nabourat skrz ssh, ale zatím to neřeším. Uvažoval jsem o něčem jak už tady bylo zmíněno, jenže riziko že bych se pak nemusel na ten stroj dostat je vyšší, než že ho někdo nabourá. Jo kdybych na něm seděl a mohl si problém vyřešit sám, proč ne. Jenže on je dedikován kdesi v matrixu a už pomalu ani netuším kam bych měl zavolat, kdyby po restartu náhodou nenajela síť ;-)
    20.12.2007 11:22 Milan Jurik | skóre: 21 | blog: Komentare | Ova
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Linuxovi uzivatele tolik broji proti "security by obscurity" a naraz to nekomu vadi? Skryvani identity je kravina, zastavi maximalne tak lamky a ty lze zastavit rozumnejsim zpusobem. Jinak samozrejme Debian je aktualizovan vuci bezpecnostnim chybam docela obstojne.
    20.12.2007 11:41 disorder | blog: weblog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    tiez sa divim, ze tu este nikto nespomenul na vsetky tie obskurne rady spojenie "security by obscurity"

    ze by rezignacia?
    Shadow avatar 20.12.2007 12:18 Shadow | skóre: 25 | blog: Brainstorm
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Také jsem dospěl k závěru, že tohle je spíše security by obscurity. Banner nijak vlastní zranitelnost služby neovlivní. Pokud je služba zranitelná, pomůže aktualizace a ne změna banneru. A pokud zranitelná není, tak podle mne není moc způsobů, jak informace z něj zneužít. Ale já nejsem expert, tak se raději zeptám.
    If we do not believe in freedom of speech for those we despise we do not believe in it at all.
    xkucf03 avatar 22.12.2007 13:35 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Skryvani identity je kravina
    Ale co budu mít jako provozovatel ze zveřejnění používaného SW? A hlavně konkrétní verze?

    "security by obscurity" je samozřejmě špatný přístup a nikdy bychom se na něj neměli spoléhat, ale: systém bychom měli navrhnout tak, aby byl bezpečný bez jakýchkoli obscurit a věřili jsme mu. Následně pak můžeme některé skutečnosti zakrýt, abychom bezpečnost systému zvýšili ještě dále nad požadovanou úroveň (přičemž na požadované úrovni bezpečnosti by ten systém měl být i bez jakýchkoli schovávaček).

    Když máme bezpečný systém a rozhodujeme se, zda přidat ještě nějaké skrývání identity, máme na vahách na jedné straně nulové přínosy (z neskrývání) a na druhé straně pochybné a malé přínosy (ze skrývání). A je jasné, že něco, i když jakkoli malého, bude vážit více než nic. Proto považuji za chybu, když OpenSSH server vykecá verzi operačního systému.

    V době mezi objevením chyby a vydáním opravy (resp. aktualizací aplikace) prozrazení přesné verze programu zvyšuje pravděpodobnost průniku do systému.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    Shadow avatar 22.12.2007 16:13 Shadow | skóre: 25 | blog: Brainstorm
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    V době mezi objevením chyby a vydáním opravy (resp. aktualizací aplikace) prozrazení přesné verze programu zvyšuje pravděpodobnost průniku do systému.

    Vzhledem k tomu, že bannery se dají falšovat a útočníci to vědí, lze předpokládat, že zkušenější útočník se pokusí využít mnoha dostupných zranitelností bez ohledu na banner. A hloupý útočník se zase třeba na bannery vůbec dívat nebude a prostě jen zkusí nějaký exploit. A ono to třeba vyjde. Čili, dopad pravdivosti banneru na pravděpodobnost průniku do systému je IMO značně spekulativní.

    If we do not believe in freedom of speech for those we despise we do not believe in it at all.
    xkucf03 avatar 23.12.2007 00:36 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    1. Jasně že ty přínosy jsou pochybné a malé, ale každopádně jsou lepší než nic (nula).
    2. Kolik lidí si tu identifikaci změní, když kvůli tomu musejí překompilovat OpenSSH? Já to taky nedělám (ale jen kvůli tomu, že SSH nemám přístupné z Internetu)
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    23.12.2007 11:05 Milan Jurik | skóre: 21 | blog: Komentare | Ova
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Zkuste si prostudovat, jak OpenSSH zahajuje komunikaci a proc je pro nej prinosnejsi, kdyz vi, kdo je na protistrane.
    xkucf03 avatar 23.12.2007 17:50 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Vím jak ta komunikace vypadá. Jde mi o tohle: SSH-2.0-OpenSSH_4.6p1 Debian-5build1. Opravdu si myslíš, že druhá strana musí vědět, že používám Debian, aby se mnou mohla komunikovat??
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    23.12.2007 20:30 Milan Jurik | skóre: 21 | blog: Komentare | Ova
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Ne, jenze co ma vyznam vedet, ze tam je Debian? Podstatna je verze OpenSSH, proti ktere je treba najit pripadne problemy.
    Shadow avatar 23.12.2007 22:00 Shadow | skóre: 25 | blog: Brainstorm
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Debian v banneru SSH může mít i jistý pozitivní vliv:
    It helps auditing a large farm of Debian machines.

    For example, there is currently no reliable way to remotely tell if a box running OpenSSH 1.2.3 is using an up-to-date Debian version with the security fix. An attacker will simply try all his exploits and move to the next machine if they are unsuccesful. The good guys can do that, too, but they cannot be sure if they just got the offsets wrong or something like that, so that the machine is vulnerable despite the attack was not successful.
    A samozřejmě, pokud vyjde nová verze OpenSSH s opravenou bezpečnostní chybou, Debian stable nepovýší verzi balíčku, ale opatchuje stávající verzi OpenSSH. Takže v banneru zůstane stará verze, o které se bude útočník moci domnívat, že je zranitelná, a pokusí se ji napadnout. Pokud tam ovšem uvidí, že se jedná o Debian, který opravu chyby backportoval do této starší verze, může jít jinam a nebude zbytečně zatěžovat server. Pokud tedy banneru věří. Ovšem takový útočník bude útočit i v případě, že v banneru zmínka o Debianu nebude.
    If we do not believe in freedom of speech for those we despise we do not believe in it at all.
    Dent avatar 19.12.2007 21:35 Dent | skóre: 21 | blog: Standovo
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Nejdelší blog na abclinuxu.cz? :))
    unknown_ avatar 19.12.2007 21:39 unknown_ | skóre: 30 | blog: blog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    I to je možný, ale nebylo to původně zamýšleno ;-)
    19.12.2007 21:42 disorder | blog: weblog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    tak zazipuj + base64
    20.12.2007 12:52 rastos | skóre: 63 | blog: rastos
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Ako keby nestačilo napísať: 
    Dec 18 09:15:10 ssh sshd[1762]: Failed password for invalid user sleeper from 60.250.118.78 port 40749 ssh2
Dec 18 09:15:14 ssh sshd[1764]: Nasty PTR record "60" is set up for 60.250.118.78, ignoring
Dec 18 09:15:14 ssh sshd[1764]: User root from 60.250.118.78 not allowed because not listed in AllowUsers
    ... a to sa opakuje pre 400 rôznych IP adries.
    20.12.2007 13:38 disorder | blog: weblog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    klamat?
    Jan Drábek avatar 19.12.2007 22:05 Jan Drábek | skóre: 41 | blog: Tartar | Brno
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Zajimavý, já měl server s veřejnou IP jel od rána až do večera - 16 hodin - na ssh ani jiné služby jsem zvlášťní útoky nikdy nezažil.

    Btw. jeden typ útoku předpokládá nejprve přehlcení logu až do velikosti disku (proto je dobré nemít disk /var/log - či jaký v / ale na externím oddílu) a potom se systém začne chovat podivně ať už je v chrootu (...) nebo ne...
    01010010 01000101 01010000 01101100 01001001 00110010 01000100 01100101 01010110
    unknown_ avatar 19.12.2007 22:11 unknown_ | skóre: 30 | blog: blog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Až budu mít chvilku času, tak si přes crona hodím posílání starých logů na mail, a zároveň jejich mazání. Ale nemyslím si, že toto by byl právě ten typ útoků, tento "útok" trval jenom asi 45 minut. Myslím, že by toho bylo potřeba výrazně víc.
    Shadow avatar 19.12.2007 22:14 Shadow | skóre: 25 | blog: Brainstorm
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Já provozoval SSH honeypot (kojoney) na serveru s veřejnou IP. A řadu "úspěšných" útoků i s pokusy nainstalovat na server nějaké svinstvo jsem zažil.
    If we do not believe in freedom of speech for those we despise we do not believe in it at all.
    unknown_ avatar 19.12.2007 22:16 unknown_ | skóre: 30 | blog: blog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    A to využili bezpečností díru, nebo prostě "uhádli login a password" ??
    Shadow avatar 19.12.2007 23:15 Shadow | skóre: 25 | blog: Brainstorm
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Jednalo se o _honeypot_, takže uhádli login a heslo, což bylo samozřejmě velmi jednoduché (Kojoney má databázi mnoha obvyklých jmen a hesel).
    If we do not believe in freedom of speech for those we despise we do not believe in it at all.
    Shadow avatar 19.12.2007 22:07 Shadow | skóre: 25 | blog: Brainstorm
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Jak se těchto automatizovaných útoků zbavit? Přehodit SSH na jiný port, port knocking, ssh-faker, apod. Dá se také zakázat ověřování heslem a používat jen klíče.

    A co tím útočníci získají? I když získají "jen" neprivilegovaný účet v chrootu, mají přece celou řadu možností, jak toho využít. Odesílání spamu, DDoS, atd.
    If we do not believe in freedom of speech for those we despise we do not believe in it at all.
    unknown_ avatar 19.12.2007 22:13 unknown_ | skóre: 30 | blog: blog
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Hm, to přehození portu mě nenapadlo, je to zajímavej nápad. Nastavím a uvidím ;-)
    Marián Kyral avatar 19.12.2007 22:40 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Já si na domácím routeru (wl-500gP) nastavil pravidla do iptables a mám klid. Během útoku se router stal nepoužitelný, nestíhal ani obsloužit všechny příchozí spojení :-(

    Útoky většinou přicházely v noci a trvaly kolem hodiny. 
    # Block SSH brutal force attack
insmod ipt_recent
iptables -N SSHSCAN
iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j SSHSCAN
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSHSCAN
iptables -A SSHSCAN -m recent --set --name SSH
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 5 --name SSH -j LOG --log-level info --log-prefix "SSH SCAN blocked: "
iptables -A SSHSCAN -m recent --update --seconds 300 --hitcount 5 --name SSH -j DROP
iptables -A SSHSCAN -j ACCEPT
    Shadow avatar 19.12.2007 23:20 Shadow | skóre: 25 | blog: Brainstorm
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Já svůj domácí router nastavuji tak, že přesměruji určité porty na svůj domácí server. SSH provozuji, ale na jiném portu (přesněji, na serveru je SSH na portu 22, ale router na něj přesměrovává jeden ze svých vyšších portů).

    Port 22 jako takový jsem svého času přesměrovával na honeypot, pak jsem zkusil tarpit a nyní prostě nic nepřesměrovávám a nechávám příslušné pakety routerem zahazovat. Automatizované útoky jsou většinou zaměřené výhradně na port 22, takže jeho "přemístěním" jsem dosáhl eliminace těchto útoků.

    SSH jako takové pak ještě chráním podobně jako vy.
    If we do not believe in freedom of speech for those we despise we do not believe in it at all.
    satanatas avatar 20.12.2007 11:10 satanatas | skóre: 14 | blog: vše co můžete s klidem hodit za hlavu ze světa linuxu i jiných světů | Graveyard
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    jojo, k*vy jedni boti :+). taky jsme měli na servu jednu takovou potvoru, několik měsíců se v logu vyskytovali tyto hlášky, ale nikomu se tam nepodařilo nabourat. přicházeli z celé Evropy a Ameriky. pak stačilo přidat jeden účet, nastavit mu slabé heslo a hned byl život veselejší :+) jo ale sshčko poslouchalo na portu 2222 a stejně se o to pokoušeli i na tomto portu.
    "Smoke me a kipper, I'll be back for breakfast!" - Ace Rimmer || gentoo infected. || the city of kremathorium || ZLO
    Shadow avatar 20.12.2007 12:29 Shadow | skóre: 25 | blog: Brainstorm
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Skenovat celý rozsah portů u každého cíle ze zvoleného rozsahu IP adres asi boti moc dělat nebudou. V tomto případě bych spíše uvažoval nad tím, že příslušný bot měl v zásobě pár alternativ, kde by ještě SSH port mohl být. A port 2222 k zařazení do takového seznamu alternativ přímo vybízí.

    Můj SSH port zatím ještě nikdo neobjevil. Ale faktem je, že pokud je bot chytřejší a nejprve si osahá (všechny) porty cíle, pak ten pravý SSH port objeví. Proto je vhodné ten správný port ještě nějak dále chránit (fail2ban, denyhosts, iptables+recent/limit, apod.).
    If we do not believe in freedom of speech for those we despise we do not believe in it at all.
    koulinek avatar 20.12.2007 22:30 koulinek | skóre: 19 | blog: koulonet
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Ja si SSH na domaci serverik prostuchuju na firewallu portforwarderem jen z nekolika konkretnich verejnych IP + rozsah co prideluje O2 na CDMA a zbytek pokusu o TCP22 v tichosti zahazuju.
    Motto: "Lépe býti dvanácti souzený, než šesti nesený."
    xxx avatar 21.12.2007 23:24 xxx | skóre: 42 | blog: Na Kafíčko
    Rozbalit Rozbalit vše Re: Proč to dělá? + anketa
    Presne tak, kazdej server se hodi na leechovani na irc. :-)
    Please rise for the Futurama theme song.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.