attacchi sshd

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

attacchi sshd

Lorenzo Viola-2
Ciao a tutti

non so a quanti di voi capita, pero' io sono particolarmente martellato
da attacchi
tipo "brute-force-dictionary" su sshd...

sto tentando inutilmente di settare il loglevel di ssh a QUIET per
mettere in piedi
qualcosa come contromisura , come per esempio questo :
http://www.bgnett.no/~peter/pf/en/bruteforce.html


peccato che sshd (su OpenBSD 3.8) non ne voglia sapere di prenderlo,
come loglevel (do' sempre un kill -HUP `cat /var/run/sshd.pid`)

a qualcuno e' capitato ? i messaggi che voglio filtrare sono questi:

Mar  1 15:37:57 ashinaga sshd[6995]: Invalid user mike from 218.108.236.131
Mar  1 15:37:57 ashinaga sshd[18659]: input_userauth_request: invalid
user mike
Mar  1 15:37:57 ashinaga sshd[6995]: Failed password for invalid user
mike from 218.108.236.131 port 8836 ssh2
Mar  1 15:37:57 ashinaga sshd[18659]: Failed password for invalid user
mike from 218.108.236.131 port 8836 ssh2
Mar  1 15:37:58 ashinaga sshd[18659]: Received disconnect from
218.108.236.131: 11: Bye Bye


grazie...

--
info@eulogika - http://www.eulogika.net
/* Halley */

        (Halley's comment.)


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: attacchi sshd

Sandro guly Zaccarini-2
On Wed, Mar 01, 2006 at 04:33:02PM +0100, Lorenzo Viola wrote:

> Ciao a tutti
>
> non so a quanti di voi capita, pero' io sono particolarmente martellato
> da attacchi
> tipo "brute-force-dictionary" su sshd...
>
> sto tentando inutilmente di settare il loglevel di ssh a QUIET per
> mettere in piedi
> qualcosa come contromisura , come per esempio questo :
> http://www.bgnett.no/~peter/pf/en/bruteforce.html
man pf.conf cerca max-src-conn
penso sia piu` utile fermare chi tenta brute force rispetto al non
leggere i log.
c'e` anche uno scriptino semplicissimo che fa una sorta di tail -f sui
log e blocca gli ip dei cattivi(usando una whitelist per non segarsi da
soli) che trovi se googli ssh_blocker.

guly

--
  /"\   ASCII RIBBON CAMPAIN
  \ /     AGAINST HTML MAIL
   X    
  / \   GPG Public Key http://www.guly.org/guly.asc


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

attachment0 (194 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: attacchi sshd

Cristiano Deana-2
In reply to this post by Lorenzo Viola-2
On Wednesday 01 March 2006 16:32, Lorenzo Viola wrote:

> qualcosa come contromisura , come per esempio questo :
> http://www.bgnett.no/~peter/pf/en/bruteforce.html

Questo funziona sicuramente (anche se mi chiedo come mai non ti funzioni pure
la tua soluzione):
http://legonet.org/~griffin/openbsd/block_ssh_bruteforce.html
in piu' lo abbina ad expiretable che periodicamente pulisce la table

--
Cristiano Deana - FreeCRIS
"Ho iniziato a usare FreeBSD perche' m$ usava me. ed e' spiacevole"
[cris|crs] in irc su: irc.azzurra.org #freebsd-it #qmail-it

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: attacchi sshd

Lorenzo Viola-2

>Questo funziona sicuramente (anche se mi chiedo come mai non ti funzioni pure
>la tua soluzione):
>http://legonet.org/~griffin/openbsd/block_ssh_bruteforce.html
>in piu' lo abbina ad expiretable che periodicamente pulisce la table
>  
>
ho trovato anch'io una pagina con praticamente lo stesso comando
/max-src-conn-rate/ su pf.conf,
moh respiro !!

grazie a tutti e due !

--
info@eulogika - http://www.eulogika.net
Linux: The Ultimate NT Service Pack


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: attacchi sshd

Lorenzo Viola-2
In reply to this post by Sandro guly Zaccarini-2

>man pf.conf cerca max-src-conn
>penso sia piu` utile fermare chi tenta brute force rispetto al non
>leggere i log.
>  
>
sono d'accordo, volevo solo riuscire a lavorare mentre lo mettevo su (da
remoto ho solo ssh)

>c'e` anche uno scriptino semplicissimo che fa una sorta di tail -f sui
>log e blocca gli ip dei cattivi(usando una whitelist per non segarsi da
>soli) che trovi se googli ssh_blocker.
>  
>
a dire la verita' l'ho fatto e l'ho anche tolto...non mi fido delle
liste...anche se fatte da me...

secondo me a lungo andare diventano armi a doppio taglio, e non oso
pensare al carico
macchina che provocano nel lungo termine...pensa se il firewall si tiene
in lista qualche milione
di indirizzi da consultare...brrrrrrrrrrrrrr

ciao !

--
info@eulogika - http://www.eulogika.net
Linux: The Ultimate NT Service Pack


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: attacchi sshd

Cristiano Deana-2
On Tuesday 07 March 2006 10:04, Lorenzo Viola wrote:

> secondo me a lungo andare diventano armi a doppio taglio, e non oso
> pensare al carico
> macchina che provocano nel lungo termine...pensa se il firewall si tiene
> in lista qualche milione
> di indirizzi da consultare...brrrrrrrrrrrrrr

usi expiretable, a cui puoi dire "toglimi dalla table xxx gli ip piu' vecchi
di yyy". Per gli attacchi in sshd basta un yyy di pochi minuti, quindi la tua
table non sara' mai piena.


--
Cristiano Deana - FreeCRIS
"Ho iniziato a usare FreeBSD perche' m$ usava me. ed e' spiacevole"
[cris|crs] in irc su: irc.azzurra.org #freebsd-it #qmail-it

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: attacchi sshd

Lorenzo Viola-2
Cristiano Deana ha scritto:

>On Tuesday 07 March 2006 10:04, Lorenzo Viola wrote:
>
>  
>
>>secondo me a lungo andare diventano armi a doppio taglio, e non oso
>>pensare al carico
>>macchina che provocano nel lungo termine...pensa se il firewall si tiene
>>in lista qualche milione
>>di indirizzi da consultare...brrrrrrrrrrrrrr
>>    
>>
>
>usi expiretable, a cui puoi dire "toglimi dalla table xxx gli ip piu' vecchi
>di yyy". Per gli attacchi in sshd basta un yyy di pochi minuti, quindi la tua
>table non sara' mai piena.
>
>
>  
>
mmmhhh =)

bello  !!

--
info@eulogika - http://www.eulogika.net
Committee, n.:
        A group of men who individually can do nothing but as a group
        decide that nothing can be done.
                -- Fred Allen


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: attacchi sshd

sand-7
In reply to this post by Lorenzo Viola-2
Lorenzo Viola wrote:
> secondo me a lungo andare diventano armi a doppio taglio, e non oso
> pensare al carico
> macchina che provocano nel lungo termine...pensa se il firewall si tiene
> in lista qualche milione
> di indirizzi da consultare...brrrrrrrrrrrrrr

PF non avrebbe problemi a gestire cosi' tanti indirizzi :)
Il vero problema e' chiudere fuori se stessi; a me e' capitato per colpa
di un IP dinamico e della completion di scp ;P

sand
--
Hi, I'm a .signature virus! Copy me to your .signature file and
help me propagate, thanks!

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List