Přihlášení | Registrace

napište » Zprávičky

Akademy 2025 / KDE Linux

dnes 04:11 | Komunita

V Berlíně probíhá konference vývojářů a uživatelů desktopového prostředí KDE Plasma Akademy 2025. Při té příležitosti byla oznámena alfa verze nové linuxové distribuce KDE Linux.

Ladislav Hagara | Komentářů: 0

Debian 13.1 a 12.12

včera 17:11 | Nová verze

Byl vydán Debian 13.1, tj. první opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.12, tj. dvanáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 0

EK udělila Googlu pokutu 2,95 miliardy eur za porušení antimonopolní legislativy

5.9. 23:44 | IT novinky

Evropská komise potrestala Google ze skupiny Alphabet pokutou 2,95 miliardy eur (71,9 miliardy Kč) za porušení antimonopolní legislativy. Podle EK, která mimo jiné plní funkci antimonopolního orgánu EU, se Google dopustil protisoutěžních praktik ve svém reklamním byznysu. Google v reakci uvedl, že rozhodnutí považuje za chybné a hodlá se proti němu odvolat. EK ve věci rozhodovala na základě stížnosti Evropské rady vydavatelů. Podle

… více »

Ladislav Hagara | Komentářů: 9

Podpora 32bitového Firefoxu pro Linux skončí v roce 2026

5.9. 23:11 | Komunita

Podpora 32bitového Firefoxu pro Linux skončí v roce 2026. Poslední podporované 32bitové verze budou Firefox 144 a Firefox 140 s rozšířenou podporou, jehož podpora skončí v září 2026.

Ladislav Hagara | Komentářů: 2

1TB Raspberry Pi SSD za 70 dolarů

5.9. 19:33 | IT novinky

Společnost Raspberry Pi nově nabízí Raspberry Pi SSD s kapacitou 1 TB za 70 dolarů.

Ladislav Hagara | Komentářů: 7

Microsoft BASIC pro mikroprocesor 6502 na GitHubu

5.9. 15:55 | Zajímavý software

Microsoft BASIC pro mikroprocesor 6502 byl uvolněn jako open source. Zdrojový kód je k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 5

NÚKIB se připojil k mezinárodnímu dokumentu „A Shared Vision of Software Bill of Materials for Cybersecurity“

5.9. 15:33 | IT novinky

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připojil k dokumentu „A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity“, který vydala americká Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) s Národní bezpečnostní agenturou (NSA), spolu s dalšími mezinárodními partnery. Dokument vznikl v rámci globálního expertního fóra pro SBOM, které má za cíl motivovat k širšímu využívání … více »

Ladislav Hagara | Komentářů: 3

Otevřený AI model Apertus

4.9. 21:22 | IT novinky

Švýcarská AI centra EPFL, ETH Zurich a CSCS představila otevřený vícejazyčný velký jazykový model (LLM) s názvem Apertus. Vyzkoušet lze na stránce Public AI Inference Utility.

Ladislav Hagara | Komentářů: 26

Linux Mint 22.2 Zara

4.9. 17:22 | Nová verze

Byl vydán Linux Mint 22.2 s kódovým jménem Zara. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze novou XApp aplikaci Fingwit pro autentizaci pomocí otisků prstů nebo vlastní fork knihovny libAdwaita s názvem libAdapta podporující grafická témata. Linux Mint 22.2 bude podporován do roku 2029.

Ladislav Hagara | Komentářů: 1

Licence AI modelu HunyuanWorld-Voyager nedovoluje jeho používání na území EU

4.9. 12:55 | IT novinky

Čínská společnost Tencent uvolnila svůj AI model HunyuanWorld-Voyager pro generování videí 3D světů z jednoho obrázku a určené trajektorie kamery. Licence ale nedovoluje jeho používání na území Evropské unie, Spojeného království a Jižní Koreje.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Pro otevření více webových stránek ve webovém prohlížečí používám

Taby (83%)

Panely (7%)

Záložky (2%)

Listy (3%)

Něco jiného (3%)

Nic (2%)

Celkem 150 hlasů

Komentářů: 11, poslední 4.9. 16:12

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Dvouhodinový útok na SSH

Štítky: přihlášení, SSH, top

Dotaz: Dvouhodinový útok na SSH

29.3.2008 12:25 happymaster23 | skóre: 9
Dvouhodinový útok na SSH

Přečteno: 1193×

Odpovědět | Admin

Zdravím,

jak jsem se dnes probudil, tak jsem se šel podívat na phpSysInfo. Velice mě překvapila zátěž systému, která byla průměrově mnohem vyšší než normálně. Nejdříve jsem se podíval na top, ale tam ta zátěž konkrétního démona vidět nebyla. Tak jsem se podíval do logů:

Mar 29 09:49:13  sshd[21929]: Invalid user gabriel from 81.145.34.4
Mar 29 09:49:13  sshd[21930]: input_userauth_request: invalid user gabriel
Mar 29 09:49:13  sshd[21930]: Received disconnect from 81.145.34.4: 11: Bye Bye
Mar 29 09:49:14  sshd[21931]: Invalid user demo from 81.145.34.4
Mar 29 09:49:14  sshd[21932]: input_userauth_request: invalid user demo
Mar 29 09:49:14  sshd[21932]: Received disconnect from 81.145.34.4: 11: Bye Bye
Mar 29 09:49:14  sshd[21933]: Invalid user demo from 81.145.34.4
Mar 29 09:49:14  sshd[21934]: input_userauth_request: invalid user demo
Mar 29 09:49:14  sshd[21934]: Received disconnect from 81.145.34.4: 11: Bye Bye
Mar 29 09:49:14  sshd[21935]: Invalid user comercial from 81.145.34.4
Mar 29 09:49:14  sshd[21936]: input_userauth_request: invalid user comercial
Mar 29 09:49:14  sshd[21936]: Received disconnect from 81.145.34.4: 11: Bye Bye

Načež mě popadl obrovský smích, protože stejně mám povolené přihlášení jenom pomocí klíče. Potom mě ale trochu přešel, protože ten útok začal v 9:45 a skončil 11:54 a bot za tu dobu stihl vyzkoušet nějakých 18 200 uživatelů.

Protože jsem v této oblasti poměrně nový, tak by mě zajímalo, jak často se s tímto setkáváte? Jak velký pokus to podle vás byl? Když útok odchytíte když se právě děje tak banujete IP? Má nějaký smysl IP zabanovat až po útoku?

Díky za odpovědi

Nástroje: Začni sledovat (1) ?

Odpovědi

29.3.2008 12:36 Jirka
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Ahoj, já měl stejné problémy s podobnými otravy. Tak jsem sshd rozjel na jiném portu, než je standardní 22. A už nikdo neotravuje. Samozřejmě, je to pouze obrana je proti otravům, není to zvýšení bezpečnosti!

29.3.2008 12:36 Jardík | skóre: 40 | blog: jarda_bloguje
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Já bych na to reagoval odplatou, ze které by se už počítač 81.145.34.4 nemusel vzpamatovat. Ale nejdříve bych si ověřil, jestli to není nějaký proxy server, abys nehackoval ten, když za to nemůže :-)

Věřím v jednoho Boha.

29.3.2008 17:45 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Proxy to asi není. Google na tuto IP dává taky zajímavé výsledky, sice jsou jen tři, ale všechny ukazují na to, že se jedná přímo o bota. Ale abych pravdu řekl, tak u tvé odpovědi jsem se fakt pobavil - konkrétně jaký typ odplaty by si zvolil? :D

29.3.2008 12:42 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Doporučil bych fail2ban, můžeš si tam nastavit, že třeba po 10 nepovedených pokusech se daná IP zablokuje. Takhle bys měl hned klid.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

29.3.2008 12:52 Jan Mikuš | skóre: 20 | Kladno
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Ja pouzivam DenyHost.

29.3.2008 17:48 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Děkuji za odpovědi, fail2ban i denyhost určitě vyzkouším, ale vzhledem k tomu, že to byl první takový útok a zatěžoval CPU zhruba o plus 5% nad průměr, tak to zatím nemá cenu. A prolomení doopravdy nehrozí.

29.3.2008 19:36 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Pokud by jsi byl ochoten tomu dát dost času a ten počítač by nebyl moc zabezpečený, tak by stálo za to ho ovládnou a pustit na něm BOINC.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

29.3.2008 13:36 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Takovéto pokusy mám taky na denním pořádku (teda měl jsem, teď už to nesleduju). Útočníku jsem vždy uštědřil nmap :-D

. Jednou jsem našel na nmapovaném počítači SUSE se VNC serverem :-)

. Většinou se používají lehko přístupné slovníky (dokonce i české jména). Spíš by mě zajímalo, co by ten bot dělal kdybych mu předhodil nějaký účet ve virtuálním stroji :-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

29.3.2008 17:54 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Stáhl jsem si ten nmap, ale protože nikde po ruce nemám testovací stroj s GNU/Linuxem a s produkčním strojem si nechci hrát, tak jsem si musel stáhnout verzi pro Windows. Tu jsem nainstaloval pod virtualizované WXP, ale ten nenašel absolutně nic a když jsem to zkoušel na můj stroj, tak zjistil akorát PTR záznam :D. Ale někde na cestě virtualizace-nat-fyzický stroj-nat-internet bude asi chyba. Teď jsem si vzpomněl, že mám někde zahrabaný jeden disk s "půlkou" RAIDu 1 s GNU/Linuxem, tak ho zkusím nahodit a otestovat to ;).

29.3.2008 13:50 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Taky jsem se už na to ptal ... v blogu, zatim mám denyhost. Další rady určitě znáš, najdeš, přístup např. z jedné ajpiny 3x za minutu apod.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

29.3.2008 14:03 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Taky jsem si tim prosel. Zmenil jsem port a od te doby klid ....

jen se učím jak se to naučit .... ...

29.3.2008 18:39 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Tihle boti mě pravidelně navštěvují každý den minimálně na 3 počítačích :-)

29.3.2008 19:17 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Jo jo, taky se s nima znám ;)

If you understand, things are just as they are; if you do not understand, things are just as they are.

29.3.2008 19:14 R
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Netreba nic instalovat, da sa to pekne riesit cez iptables - recent. Raz to tu niekto spominal. Nieco ako:

$IPTABLES -N SSH_attack
$IPTABLES -A SSH_attack -m recent --set --name SSH
$IPTABLES -A SSH_attack -m recent --update --seconds 300 --hitcount 5 --name SSH -j LOG --log-level info --log-prefix "SSH attack blocked: "
$IPTABLES -A SSH_attack -m recent --update --seconds 300 --hitcount 5 --name SSH -j DROP
$IPTABLES -A SSH_attack -j ACCEPT

29.3.2008 21:15 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Dvouhodinový útok na SSH

Ja pouzivam nieco podobne. Nadviazat spojenie na ssh port povolim len raz za 30 sekund, a ked niekto necaka tych 30 sekund tak pekne zahadzujem vsetko co tam prichadza. V jednom spojeni povolim skusit len 3x heslo.
Od kedy som toto zaviedol na servri tak sem tam vidim jeden/dva pokusi, ale potom uz nic. Scripty na tom timeoutuju a ludi to asi nebavi (hlavne ked nevedia ten cas a ked skorsie skusaju tak sa predlzuje).

Tu su relevantne casti iptables. Ja tam mam hromadu veci tak to mam vetvene.

...
iptables -A INPUT -m state --state NEW -j NEW_CON
...
iptables -A NEW_CON -i wan -p tcp --dport 22 -j SSH_ACCESS
...
iptables -A SSH_ACCESS -m recent --name ssh_attempt --rsource --update --seconds 30 --hitcount 1 -j DROP
iptables -A SSH_ACCESS -m recent --name ssh_attempt --rsource --set -j ACCEPT
...

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje