[opensuse-ru] Попытки подбора пароля на ssh - openSUSE Users (русский) - openSUSE Mailing Lists

newer
[opensuse-ru] Intel G45/G43 Chipset

[opensuse-ru] Попытки подбора пароля на ssh

older
Re: [opensuse-ru] Попытки подбора...

Черноусов Антон Анатоль евич

13 Nov 2009 13 Nov '09

04:20

Добрый день уважаемое сообщество! Вот уже неделю какие-то деятели пытаются подобрать пароль и логин на шлюз компании, соответственно в логе изобилие записей наподобие: Nov 13 03:50:10 term-01 sshd[7336]: Invalid user mariusz from 200.72.139.92 Nov 13 03:51:00 term-01 sshd[7344]: Invalid user mariuszf from 93.63.231.55 Nov 13 03:52:56 term-01 sshd[7364]: Invalid user mariusz from 58.26.82.165 Nov 13 03:53:56 term-01 sshd[7373]: Invalid user mariusz from 211.143.106.75 Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия? -- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org

Reply

Sign in to reply online Use email software

Show replies by date

Kyrill Detinov

13 Nov 13 Nov

07:37

Friday 13 November 2009 On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:

Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?

Fail2Ban http://www.fail2ban.org -- WBR, Kyrill Detinov

Reply

Sign in to reply online Use email software

Черноусов Антон Анатоль евич

08:12

Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :) Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :)))) 13.11.2009 13:37, Kyrill Detinov пишет:

Friday 13 November 2009

On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:

...
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?

Fail2Ban http://www.fail2ban.org

-- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org

Reply

Sign in to reply online Use email software

Irshat R.Arslanov

08:18

Черноусов Антон Анатольевич пишет:

Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)

Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))

13.11.2009 13:37, Kyrill Detinov пишет:

...
Friday 13 November 2009

On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:

...
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?

Fail2Ban http://www.fail2ban.org

Высылайте текст кляузы на русском - переведем. ;-)

__________ Information from ESET NOD32 Antivirus, version of virus signature database 4602 (20091113) __________ The message was checked by ESET NOD32 Antivirus. http://www.esetnod32.ru -- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org

Reply

Sign in to reply online Use email software

Черноусов Антон Анатоль евич

08:25

Текст будет я думаю такой. Уважаемый $whoisname. С принадлежащего вам IP адреса, $ip, производятся попытки подбора пароля к службе ssh, просим Вас посодействовать в решение этого вопроса. Напоминаем, что согласно Российского законодательства неправомерный доступ к информационным ресурсам является уголовно наказуемым преступлением. С уважением. 13.11.2009 14:18, Irshat R.Arslanov пишет:

Черноусов Антон Анатольевич пишет:

...
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)

Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))

13.11.2009 13:37, Kyrill Detinov пишет:

...
Friday 13 November 2009

On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:

...
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия? Fail2Ban http://www.fail2ban.org

Высылайте текст кляузы на русском - переведем. ;-)

__________ Information from ESET NOD32 Antivirus, version of virus signature database 4602 (20091113) __________

The message was checked by ESET NOD32 Antivirus.

http://www.esetnod32.ru

-- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org

Reply

Sign in to reply online Use email software

Irshat R.Arslanov

08:35

Черноусов Антон Анатольевич пишет:

Текст будет я думаю такой.

Уважаемый $whoisname.

С принадлежащего вам IP адреса, $ip, производятся попытки подбора пароля к службе ssh, просим Вас посодействовать в решение этого вопроса.

Напоминаем, что согласно Российского законодательства неправомерный доступ к информационным ресурсам является уголовно наказуемым преступлением.

С уважением.

13.11.2009 14:18, Irshat R.Arslanov пишет:

...
Черноусов Антон Анатольевич пишет:

...
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)

Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))

13.11.2009 13:37, Kyrill Detinov пишет:

...
Friday 13 November 2009

On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:

...
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?

Fail2Ban http://www.fail2ban.org

Высылайте текст кляузы на русском - переведем. ;-)

Respected $whoisname.

From belonging to you IP addresses, $ip, are made attempts of brute force the password to service ssh, we ask you to promote in the decision of this question.

We remind that agree the Russian legislation wrongful access to information resources is a penal crime.

Yours faithfully.

__________ Information from ESET NOD32 Antivirus, version of virus signature database 4602 (20091113) __________ The message was checked by ESET NOD32 Antivirus. http://www.esetnod32.ru -- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org

Reply

Sign in to reply online Use email software

Kyrill Detinov

08:37

Friday 13 November 2009 On Friday 13 November 2009 11:12:05 Черноусов Антон Анатольевич wrote:

Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)

Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))

Кстати, из последнего ChangeLog Fail2Ban: - Added actions to report abuse to ISP, DShield and myNetWatchman. -- WBR, Kyrill Detinov

Reply

Sign in to reply online Use email software

Черноусов Антон Анатоль евич

08:41

Ну вот я опять велосипед изобрел :-) 13.11.2009 14:37, Kyrill Detinov пишет:

Friday 13 November 2009

On Friday 13 November 2009 11:12:05 Черноусов Антон Анатольевич wrote:

...
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)

Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))

Кстати, из последнего ChangeLog Fail2Ban: - Added actions to report abuse to ISP, DShield and myNetWatchman.

-- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org

Reply

Sign in to reply online Use email software

Черноусов Антон Анатоль евич

09:54

Перевел ssh на сертификаты. Оно так спокойнее будет и написал скриптик который письма провайдерам кому IP адреса брутфорсеров принадлежат. Письма собсно отправляются :) Хотя толку от этого мало будет ... наверное. Пятница 13-е прошло блин плодотворно :) 13.11.2009 14:41, Черноусов Антон Анатольевич пишет:

Ну вот я опять велосипед изобрел :-)

13.11.2009 14:37, Kyrill Detinov пишет:

...
Friday 13 November 2009

On Friday 13 November 2009 11:12:05 Черноусов Антон Анатольевич wrote:

...
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)

Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))

Кстати, из последнего ChangeLog Fail2Ban: - Added actions to report abuse to ISP, DShield and myNetWatchman.

-- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org

Reply

Sign in to reply online Use email software

Mark Goldstein

14:07

New subject: [opensuse-ru] Re: [opensuse-ru] Попытки подбора пароля на ssh

2009/11/13 Черноусов Антон Анатольевич :

Перевел ssh на сертификаты. Оно так спокойнее будет и написал скриптик который письма провайдерам кому IP адреса брутфорсеров принадлежат. Письма собсно отправляются :) Хотя толку от этого мало будет ... наверное.

Пятница 13-е прошло блин плодотворно :)

13.11.2009 14:41, Черноусов Антон Анатольевич пишет:

...
Ну вот я опять велосипед изобрел :-)

...

Эти атаки не раз обсуждались в англоязычной рассылке (opensuse@opensuse.org, например, поищите тему: dictionary attacks). Одна из рекомендаций: ---------------- FW_SERVICES_ACCEPT_EXT="0/0,tcp,22,,hitcount=3,blockseconds=120,recentname=ssh" in /etc/sysconfig/SuSEfirewall2 This will limit to a maximum of 3 attempts per 120s. Even more effective can be running sshd on an unusual port, or installing something like "fail2ban" --------------- Т.е. в итоге то, что Вам уже предложили. -- Mark Goldstein N▀╖╡ФЛr╦⌡yИ ┼Z)z{.╠ЙНЗИЛ╧╩╝&ч╒≈╖╡К╒╦╒╤²v+b╒v╔r┴╕jwlzf╒√┼^·к╛z╩╬┘Иi╒≈╖╡К╒╦

Reply

Sign in to reply online Use email software

h31

16 Nov 16 Nov

17:10

В сообщении от 13 ноября 2009 07:20:16 автор Черноусов Антон Анатольевич написал:

Добрый день уважаемое сообщество!

Вот уже неделю какие-то деятели пытаются подобрать пароль и логин на шлюз компании, соответственно в логе изобилие записей наподобие:

Nov 13 03:50:10 term-01 sshd[7336]: Invalid user mariusz from 200.72.139.92 Nov 13 03:51:00 term-01 sshd[7344]: Invalid user mariuszf from 93.63.231.55 Nov 13 03:52:56 term-01 sshd[7364]: Invalid user mariusz from 58.26.82.165 Nov 13 03:53:56 term-01 sshd[7373]: Invalid user mariusz from 211.143.106.75

Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?

http://www.opennet.ru/opennews/art.shtml?num=24276 В заметке "Rickrolled? Get Ready for the Hail Mary Cloud!" рассказано о новой распределенной ботнет-сети, специализирующейся на проникновении путем подбора паролей через SSH. Классические методы блокирования "brute force" атак слабо помогают против новой сети, так как с одного IP адреса производится лишь несколько попыток проверки - в подборе участвуют несколько тысяч машин, каждая из которых перебирает относительно небольшой диапазон вариантов перебора.

Reply

Sign in to reply online Use email software

5279

Age (days ago)

5282

Last active (days ago)

Download

10 comments

5 participants

tags

participants (5)

h31
Irshat R.Arslanov
Kyrill Detinov
Mark Goldstein
Черноусов Антон Анатоль евич