Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Czy można jakoś spożytkować IP-y atakujących hostów?

9 views
Skip to first unread message

maruda

unread,
May 10, 2012, 3:44:50 AM5/10/12
to
Czołem Waszmościowie!
Mój router jest notorycznie atakowany próbami zalogowania się na roota
po ssh, metodą raczej brute force, kilka razy na minutę, z wielu różnych IP.
Loguję te próby co minutę i blokuję na swoim iptables te IP-adresy.
Czy można jakoś to spożytkować "ku dobru ogółu"? Zapodawać gdzieś "z
automatu" ?
Jak się uwiarygdaniać?
Co RTFM-ować?

--
Dziękuję. Pozdrawiam. Ten Maruda.

Andrzej Ciach

unread,
May 10, 2012, 4:26:11 AM5/10/12
to
Ja sobie od dawna odpuściłem reagowanie na takie próby, bo to strata
czasu. Przestawiam SSH na inny port i jest spokój :-)

Andrzej Ciach

maruda

unread,
May 10, 2012, 6:39:27 AM5/10/12
to
W dniu 2012-05-10 10:26, Andrzej Ciach pisze:

>> Czy można jakoś to spożytkować "ku dobru ogółu"? Zapodawać gdzieś "z
>> automatu" ?
>> Jak się uwiarygdaniać?
>> Co RTFM-ować?
> Ja sobie od dawna odpuściłem reagowanie na takie próby, bo to strata
> czasu. Przestawiam SSH na inny port i jest spokój :-)

No - owszem, to jest jakieś "rozwiązanie", nawet zalecane. Jednak
wyrzeźbiłem skrypcik, który działa i u mnie taki atakujący host w ciągu
minuty jest odcięty, zanotowany i też mam spokój.
Pytałem o coś innego. :)

Lukasz Olesiejuk

unread,
May 10, 2012, 7:32:03 AM5/10/12
to
Skrypt? A nie lepiej po prostu fail2ban? :)

Remek

unread,
May 10, 2012, 10:06:15 AM5/10/12
to
Użytkownik "maruda" napisał:

> Pytałem o coś innego. :)

Niestety w Polsce możesz pisać na Berdyczów. Natomiast jeśli by jakimś trafem
ktoś włamał by Ci się na serwer i rozpowszechnił materiały "obrażające"
prezydenta to wizytę ABWery masz jak w banku. Jeśli po założeniu konta
pocztowego w kilka sekund pojawia się na nim spam to co sądzić o "walce" ze
spamerami przez usługodawców?

Remek

no+...@mail.invalid

unread,
May 10, 2012, 1:42:55 PM5/10/12
to
W dniu 10.05.2012 r. 12:39, maruda pisze:
> W dniu 2012-05-10 10:26, Andrzej Ciach pisze:
>
>>> Czy można jakoś to spożytkować "ku dobru ogółu"? Zapodawać gdzieś "z
>>> automatu" ?
>>> Jak się uwiarygdaniać?
>>> Co RTFM-ować?
>> Ja sobie od dawna odpuściłem reagowanie na takie próby, bo to strata
>> czasu. Przestawiam SSH na inny port i jest spokój :-)
>
> No - owszem, to jest jakieś "rozwiązanie", nawet zalecane. Jednak
> wyrzeźbiłem skrypcik, który działa i u mnie taki atakujący host w ciągu
> minuty jest odcięty, zanotowany i też mam spokój.
Znasz koszty tego podejścia.
Jeśli wytniesz bramkę lub współdzielony IP, to dostęp do twoich zasobów
stracą także niewinni użytkownicy.
Kiedyś, jak Internet był jeszcze w swej masie przyjaznym, ufnym miejscem
i się takich rzeczy nie filtrowało, można było wysłać określonym
protokołem (e.g. SMB Messenger, Bonjour) wiadomość do hosta, że ma
zainfekowany komputer; większość tych skanowań jest wysyłana z zombie.

Andrzej Ciach

unread,
May 10, 2012, 4:14:01 PM5/10/12
to
A ja w sumie Ci odpowiedziałem (ale to tylko moja opinia) :-)
Nie bardzo jest co zrobić z taką informacją, nikogo praktycznie to nie
zainteresuje, możesz sobie pisać do providerów itp. i masz nikłą
szansę na jakąś odpowiedź. Po prostu szkoda czasu i mocy procesora na
obsługę cora większych iptables i miejsca na dysku na logowanie śmieci
;-)

Andrzej Ciach

or...@pwr.wroc.pl

unread,
May 11, 2012, 12:47:04 AM5/11/12
to
On 10.05.2012, Andrzej Ciach <__cia...@ciach.net> wrote:
> Nie bardzo jest co zrobić z taką informacją, nikogo praktycznie to nie
> zainteresuje, możesz sobie pisać do providerów itp. i masz nikłą
> szansę na jakąś odpowiedź.

Mnie to zwykle interesuje. Jeśli host który skanuje albo wysyła spam
znajdzie się w domenie która nie należy do puli przyznawanej klientom
biorącym dostęp do internetu to warto napisać na abuse(albo bezpośrednio
do adminstratora systemu). Kilka razy się zdarzyło, że po wysłaniu
takiego maila dostałem nawet odpowiedź z magicznym zwrotem "dziękuję".

--
Pozdrawiam
orcus
0 new messages