Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

Fåbort attack-försök?

1
Skriv svar
Permalänk
Medlem

Fåbort attack-försök?

Jag är inte uber elit på linux, men jag kan en del. Och något jag stör mig enormt på är attacker där någon försöker få tillgång till root. Helt idiotiskt..

Dels för att jag har inaktiverat root och sedan för jag har det mest krångligaste pass samt lösenord. Men jag känner mig iallafall inte säker.

Jag har hört talas om RSA-nycklar men har inte förstått hur dessa fungerar? Behöver man inget lösenord då eller?

Vad finns det för andra lösningar som minskar dessa attacker? Inget jätteavancerat, men något som bara dra ner attackerna.

PS. Min log blir ca. 600 mb varje dag tack vare dessa attacker.. FAN

Redigera
Citera flera Citera
Permalänk
Medlem

ett fulhack är ju att byta port på ssh...

Visa signatur

IBook G4 12" | 1.5GB | 120Gb | OS X 10.4.9 / Ubuntu
C2D E6400@2.8GHz | 2GB | 1,7TB | Gentoo
1700+@2400MHz | KD7-RAID | 1,25GB | Win2k

Redigera
Citera flera Citera
Permalänk
Medlem

Du får väl brandvägga din burk.

Visa signatur

Varför får jag inte på mig dina blåjeans?
Och gäst ikväll är Jesus. Han har kickat heroin.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av m0rm0r
ett fulhack är ju att byta port på ssh...

Jo, har funderat på det.. men tänk om jag är utomlands och behöver nå datorn men porten är blockerad där? Hur löser jag det?

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Det här har diskuterats förr, sök på 'bruteforce'.

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Kamaja
Jo, har funderat på det.. men tänk om jag är utomlands och behöver nå datorn men porten är blockerad där? Hur löser jag det?

lägg den på typ 110 då som är pop3, större chans att den är öppen än 22.

Visa signatur

IBook G4 12" | 1.5GB | 120Gb | OS X 10.4.9 / Ubuntu
C2D E6400@2.8GHz | 2GB | 1,7TB | Gentoo
1700+@2400MHz | KD7-RAID | 1,25GB | Win2k

Redigera
Citera flera Citera
Permalänk
Medlem

600mb varje dag lite otroligt?

"jag har det mest krångligaste pass samt lösenord." Trodde det var samma sak jag.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem

Dög inte det jag svar jag gav i http://forum.sweclockers.com/showthread.php?s=&threadid=57379...?

Det handlar ju om precis det här, loggarna blir rena och fina och ingen kan logga in som root om de inte lyckas gissa rätt på ditt lösenord på valfritt antal försök, i mitt fall ger jag dem 5 försök innan de blockas.

Btw så låter "600 mb" väldigt otroligt, dels för att en bit är odelbar, så vad en "millibit" är är svårt att svara på (klassisk petimeteranmärkning). Om det var "MB" som menades är det lika otroligt det. Möjligen de blir några kilobyte större om dagen om det är många attacker dock .

Visa signatur

Nu med kortare användarnamn, men fortfarande bedövande långa inlägg.

Redigera
Citera flera Citera
Permalänk
Medlem

Mja, helt otroligt är det ju inte, jag menar om vi räknar på ett exempel från min auth.log,

Mar 27 11:05:13 localhost sshd[18273]: Illegal user user from ::ffff:221.158.91.46

Denna sträng är 83 tecken lång, med en newline efter sig. Om vi antar att det är ASCII-kodning så kommer den då ta upp 83 bytes.

600 MB motsvarar 629_145_600 bytes.

Detta skulle innebära att han får ungefär 7_580_067 inloggningsförsök per dag, eller ungefär 88 inloggningsförsök per sekund.

Visa signatur

Mina boktips: Clean codeHead First Design PatternsHead First Object-oriented Analysis and Design
Innovation distinguishes between a leader and a follower. — Steve Jobs

Redigera
Citera flera Citera
Permalänk
Medlem

Jag har därför satt upp en max tre anslutningar per 5'te minut.

Jag har även låst ute de större IP blocken från China/Korea/Ryssland där det mesta verkar komma ifrån. Även en massa på port UDP 1026 (Windows Messenging service)

Redigera
Citera flera Citera
Permalänk
Medlem

Denyhosts är ett trevlig program för att komma till rätta med problemet, klart att rekomendera.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av gpp-esm
Hur blockar man IP från sådana länder?

Finns inget bra och heltäckande sätt, men jag har samlat på mig en del genom tiderna och på nätet. En enkel traceroute berättar var det finns ju.

En del av mitt firewall script:

# bad ip blocks
BLIST=`cat mfirewall-blocklist.dat`
for B in $BLIST; do
    iptables -A INPUT -i eth1 -p tcp -s $B -j DROP
    iptables -A INPUT -i eth1 -p udp -s $B -j DROP
done

Filen mfirewall-blocklist.dat

58.0.0.0/8
59.0.0.0/8
60.0.0.0/8
61.0.0.0/8
124.0.0.0/8
125.0.0.0/8
134.196.0.0/16
159.226.0.0/16
161.207.0.0/16
162.105.0.0/16
166.111.0.0/16
167.139.0.0/16
168.160.0.0/16
192.83.122.0/24
192.124.154.0/24
192.188.170.0/24
198.17.7.0/24
198.97.132.0/24
159.0.0.0/8
200.0.0.0/8
202.0.0.0/8
203.0.0.0/8
210.0.0.0/8
211.0.0.0/8
218.0.0.0/8
219.0.0.0/8
220.0.0.0/8
221.0.0.0/8
222.0.0.0/8
204.0.0.0/8
24.0.0.0/8
3.0.0.0/8
161.225.0.0/16
82.142.0.0/16
213.152.0.0/16
133.94.0.0/16
150.99.0.0/16
80.73.0.0/16
38.100.0.0/16
137.87.0.0/16
17.120.0.0/16

Jag klämmer säkert åt en massa andra med, men men.. Vem bryr sig..

Redigera
Citera flera Citera
Permalänk
Medlem

Rätt onödigt att blocka specifika nät/ip'n, sätt upp en generell regel typ som denna http://www.debian-administration.org/articles/187 och rotera loggarna istället.

Visa signatur

Hur man installerar program i *nix | There is no Swedish conspiracy

these days you can't use the Web at 2400 baud because the ads are 24KB - Bill Joy

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara