Dotaz na ssh bruteforce

[Jindra Fucik]

----- Original Message ----- 


> Nedavno jsem zde brecel nad tim, jak se v posledni dobe objevily 
> distribuovane bruteforce utoky, takze prijde jeden nebo dva pokusy z jedne 
> IP a pak dalsi az za par hodin. A byly toho plne logy.
> Zkusil jsem na to jit od lesa a zda se, ze se to vyplatilo. Pouzival jsem 
> uz driv bruteblock ve spojeni s IPFW, proti kteremu jsou tyhle utoky 
> samozrejme imunni. Udelal jsem ale to, ze jsem si presmeroval authlogy ze 
> vsech serveru na router, protoze onen distribuovany utok vypadal tak, ze 
> dana IP adresa zautocila sice jen jednou nebo dvakrat na jeden stroj, ale 
> na vsechny sousedni IP prakticky soucasne. Diky tomu uz bylo tech 
> neuspesnych pokusu o prihlaseni vic a bruteblock opet zafungoval.
> A aby to melo nejaky smysl - protoze dalsi utok se z dane IP objevil az po 
> nekolika hodinach, ustrihl jsem utocici IP ne na par minut (jak je to 
> defaultne), ale rovnou na cely tyden (chvili jsem premyslel nad tim, ze ji 
> ustrihnu rovnou na mesic :-) ).
> Zacatek byl celkem drsny, za 24 hodin jsem mel zablokovanych cca 160 IP 
> adres a nocni security vypis z routeru byl jako roman na dlouhe zimni 
> vecery. Dnes, po mesici a pul, je realita takova, ze mam v tabulce 
> zablokovanych IP adres 12 zaznamu (za posledni tyden!!!) a nocni vypisy 
> authlogu jsou vlastne prazdne. Nevim, jestli soucasny mechanismus 
> blokovani odradil utocici servery nebo proste ty utoky obecne ustavaji. 
> Kazdopadne, ja jsem ted spokojeny a nijak dal bruteforce utoky nebudu ani 
> resit ani analyzovat. Nestoji mi to za to.

Mozna se mi to zda, ale skoro mam pocit, ze celej system utoku je nejak 
sofistikovane organizovanej.
Mel jsem na jednom stroji trochu potize hardwaroveho charakteru a on byl 
nekolik dnu nedostupnej.
Kupodivu na nej tyto utoky ustaly a uz nezacaly.

Jindra