Freesco, NND, CDN, EOS
http://forum.freesco.pl/

ataki słownikowe na usługi
http://forum.freesco.pl/viewtopic.php?f=28&t=18483
Strona 1 z 1

Autor:  Maciek [ piątek, 28 stycznia 2011, 12:04 ]
Tytuł:  ataki słownikowe na usługi

Dawno tego nie miałem, a od pewnego czasu znów się zaczęło pojawiać.
: [/] [] ()
Jan 28 03:36:58 alix tpop3d[1348]: listeners_post_select: client [7]220.128.101.73/alix: connected to local address 192.168.1.5:110
Jan 28 03:36:59 alix tpop3d[1348]: connection_do: client `[7]220.128.101.73/alix': username `admin': 1 authentication failures
Jan 28 03:37:02 alix tpop3d[1348]: ioabs_tcp_post_select: client [7]220.128.101.73/alix: connection closed by peer

Dziś w nocy w ciągu kilku godzin prawie 6 tysięcy prób zalogowania się do POP3. W sporej części są to ataki "angielskojęzyczne" w tym sensie, że szukają użytkowników typu mary, john, kelly. Jednak szukają również użytkowników admin lub postmaster, więc jeśli ktoś lubi sobie zakładać konto admin, to lepiej niech ma porządne hasło. Nowością w tym wypadku było szukanie kont spam spambox lub spam123. Czyli spamer sprawdzał jednocześnie czy ewentualne pułapki antyspamowe nie są kontem z hasłem.

Jeśli ktoś ma słabe łącze lub będzie miał pecha doświadczyć ataku z wielu różnych IP jednocześnie to może przypominać ddos i spowodować niedostępność POP3.

Autor:  Albercik [ piątek, 28 stycznia 2011, 12:51 ]
Tytuł: 

U mnie zmasowany atak na ssh, ponad 4k wpisów typu :

Cytuj:
Jan 28 11:03:49 pppoe1 sshd[9219]: reverse mapping checking getaddrinfo for eylul6.ttnet.net.tr [212.156.4.6] failed - POSSIBLE BREAK-IN ATTEMPT!
Jan 28 11:03:49 pppoe1 sshd[9219]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=212.156.4.6 user=root
Jan 28 11:03:50 pppoe1 sshd[9219]: Failed password for root from 212.156.4.6 port 51711 ssh2


Przynajmniej w końcu zmieniłem port ssh :)

Autor:  Maciek [ piątek, 28 stycznia 2011, 14:15 ]
Tytuł: 

W większości wypadków polecam fail2ban. Ma dobry mechanizm do zapobiegania atakom słownikowym i typu ddos. Nie lubię zmian portów, bo potem mam problemy - przy kilku rozmaitych serwerach na zmienionych portach niestety zapominam, na jakim porcie który jest ustawiony i marnuję sporo czasu na niepotrzebne próby. Fail2ban załatwia sprawę.
Akurat w tym przypadku nie mogę zainstalować fail2ban z powodów wydajnościowych. Ale mogę zamknąć 110, ponieważ kilku moich użytkowników używa wyłącznie portu 995.

Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/