[opensuse-ru] Попытки подбора пароля на ssh
Добрый день уважаемое сообщество! Вот уже неделю какие-то деятели пытаются подобрать пароль и логин на шлюз компании, соответственно в логе изобилие записей наподобие: Nov 13 03:50:10 term-01 sshd[7336]: Invalid user mariusz from 200.72.139.92 Nov 13 03:51:00 term-01 sshd[7344]: Invalid user mariuszf from 93.63.231.55 Nov 13 03:52:56 term-01 sshd[7364]: Invalid user mariusz from 58.26.82.165 Nov 13 03:53:56 term-01 sshd[7373]: Invalid user mariusz from 211.143.106.75 Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия? -- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org
Friday 13 November 2009 On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?
Fail2Ban http://www.fail2ban.org -- WBR, Kyrill Detinov
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :) Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :)))) 13.11.2009 13:37, Kyrill Detinov пишет:
Friday 13 November 2009
On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?
Fail2Ban http://www.fail2ban.org
-- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org
Черноусов Антон Анатольевич пишет:
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)
Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))
13.11.2009 13:37, Kyrill Detinov пишет:
Friday 13 November 2009
On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?
Fail2Ban http://www.fail2ban.org
Высылайте текст кляузы на русском - переведем. ;-)
__________ Information from ESET NOD32 Antivirus, version of virus signature database 4602 (20091113) __________ The message was checked by ESET NOD32 Antivirus. http://www.esetnod32.ru -- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org
Текст будет я думаю такой. Уважаемый $whoisname. С принадлежащего вам IP адреса, $ip, производятся попытки подбора пароля к службе ssh, просим Вас посодействовать в решение этого вопроса. Напоминаем, что согласно Российского законодательства неправомерный доступ к информационным ресурсам является уголовно наказуемым преступлением. С уважением. 13.11.2009 14:18, Irshat R.Arslanov пишет:
Черноусов Антон Анатольевич пишет:
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)
Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))
13.11.2009 13:37, Kyrill Detinov пишет:
Friday 13 November 2009
On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия? Fail2Ban http://www.fail2ban.org
Высылайте текст кляузы на русском - переведем. ;-)
__________ Information from ESET NOD32 Antivirus, version of virus signature database 4602 (20091113) __________
The message was checked by ESET NOD32 Antivirus.
-- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org
Черноусов Антон Анатольевич пишет:
Текст будет я думаю такой.
Уважаемый $whoisname.
С принадлежащего вам IP адреса, $ip, производятся попытки подбора пароля к службе ssh, просим Вас посодействовать в решение этого вопроса.
Напоминаем, что согласно Российского законодательства неправомерный доступ к информационным ресурсам является уголовно наказуемым преступлением.
С уважением.
13.11.2009 14:18, Irshat R.Arslanov пишет:
Черноусов Антон Анатольевич пишет:
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)
Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))
13.11.2009 13:37, Kyrill Detinov пишет:
Friday 13 November 2009
On Friday 13 November 2009 07:20:16 Черноусов Антон Анатольевич wrote:
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?
Fail2Ban http://www.fail2ban.org
Высылайте текст кляузы на русском - переведем. ;-)
Respected $whoisname.
From belonging to you IP addresses, $ip, are made attempts of brute force the password to service ssh, we ask you to promote in the decision of this question.
We remind that agree the Russian legislation wrongful access to information resources is a penal crime.
Yours faithfully.
__________ Information from ESET NOD32 Antivirus, version of virus signature database 4602 (20091113) __________ The message was checked by ESET NOD32 Antivirus. http://www.esetnod32.ru -- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org
Friday 13 November 2009 On Friday 13 November 2009 11:12:05 Черноусов Антон Анатольевич wrote:
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)
Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))
Кстати, из последнего ChangeLog Fail2Ban: - Added actions to report abuse to ISP, DShield and myNetWatchman. -- WBR, Kyrill Detinov
Ну вот я опять велосипед изобрел :-) 13.11.2009 14:37, Kyrill Detinov пишет:
Friday 13 November 2009
On Friday 13 November 2009 11:12:05 Черноусов Антон Анатольевич wrote:
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)
Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))
Кстати, из последнего ChangeLog Fail2Ban: - Added actions to report abuse to ISP, DShield and myNetWatchman.
-- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org
Перевел ssh на сертификаты. Оно так спокойнее будет и написал скриптик который письма провайдерам кому IP адреса брутфорсеров принадлежат. Письма собсно отправляются :) Хотя толку от этого мало будет ... наверное. Пятница 13-е прошло блин плодотворно :) 13.11.2009 14:41, Черноусов Антон Анатольевич пишет:
Ну вот я опять велосипед изобрел :-)
13.11.2009 14:37, Kyrill Detinov пишет:
Friday 13 November 2009
On Friday 13 November 2009 11:12:05 Черноусов Антон Анатольевич wrote:
Поступило нестандартное предложение настучать на злыдней :) Написать небольшой скрипт который выдернет все косячные авторизациями + IP адреса, далее whois'ом найти abuse е-мылы провайдеров и устроить небольшую рассылочку с содержанием "Принадлежащий вам IP адрес XX, предположительно заражен и участвует в подборе парлей на sshd" :)
Скриптик собсно уже наваяли, кто в Аглицком силен помогите пожалуйсто написать кляузу :))))
Кстати, из последнего ChangeLog Fail2Ban: - Added actions to report abuse to ISP, DShield and myNetWatchman.
-- To unsubscribe, e-mail: opensuse-ru+unsubscribe@opensuse.org For additional commands, e-mail: opensuse-ru+help@opensuse.org
2009/11/13 Черноусов Антон Анатольевич
Перевел ssh на сертификаты. Оно так спокойнее будет и написал скриптик который письма провайдерам кому IP адреса брутфорсеров принадлежат. Письма собсно отправляются :) Хотя толку от этого мало будет ... наверное.
Пятница 13-е прошло блин плодотворно :)
13.11.2009 14:41, Черноусов Антон Анатольевич пишет:
Ну вот я опять велосипед изобрел :-)
...
Эти атаки не раз обсуждались в англоязычной рассылке (opensuse@opensuse.org, например, поищите тему: dictionary attacks). Одна из рекомендаций: ---------------- FW_SERVICES_ACCEPT_EXT="0/0,tcp,22,,hitcount=3,blockseconds=120,recentname=ssh" in /etc/sysconfig/SuSEfirewall2 This will limit to a maximum of 3 attempts per 120s. Even more effective can be running sshd on an unusual port, or installing something like "fail2ban" --------------- Т.е. в итоге то, что Вам уже предложили. -- Mark Goldstein N▀╖╡ФЛr╦⌡yИ ┼Z)z{.╠ЙНЗИЛ╧╩╝&ч╒≈╖╡К╒╦╒╤²v+b╒v╔r┴╕jwlzf╒√┼^·к╛z╩╬┘Иi╒≈╖╡К╒╦
В сообщении от 13 ноября 2009 07:20:16 автор Черноусов Антон Анатольевич написал:
Добрый день уважаемое сообщество!
Вот уже неделю какие-то деятели пытаются подобрать пароль и логин на шлюз компании, соответственно в логе изобилие записей наподобие:
Nov 13 03:50:10 term-01 sshd[7336]: Invalid user mariusz from 200.72.139.92 Nov 13 03:51:00 term-01 sshd[7344]: Invalid user mariuszf from 93.63.231.55 Nov 13 03:52:56 term-01 sshd[7364]: Invalid user mariusz from 58.26.82.165 Nov 13 03:53:56 term-01 sshd[7373]: Invalid user mariusz from 211.143.106.75
Ломают предположительно с 70-80 IP адресов, кто-нибудь из вас сталкивался с таким? Какие есть методы противодействия?
http://www.opennet.ru/opennews/art.shtml?num=24276 В заметке "Rickrolled? Get Ready for the Hail Mary Cloud!" рассказано о новой распределенной ботнет-сети, специализирующейся на проникновении путем подбора паролей через SSH. Классические методы блокирования "brute force" атак слабо помогают против новой сети, так как с одного IP адреса производится лишь несколько попыток проверки - в подборе участвуют несколько тысяч машин, каждая из которых перебирает относительно небольшой диапазон вариантов перебора.
participants (5)
-
h31
-
Irshat R.Arslanov
-
Kyrill Detinov
-
Mark Goldstein
-
Черноусов Антон Анатоль евич