Re: [Sysadmins] SSH Brute force

[Dank Bagryantsev <4alt@mail.ru>]

Здравствуйте, Dmitriy.

Вы писали 17 марта 2006 г., 10:20:24:

DLK> Есть у нас один стрелец, шибко грамотный, стервец... (С) "Про Федота..."

DLK> Так вот, он, гад, постоянно пытается поиметь мой сервер путем подбора
DLK> пароля к моему SSHd ...

DLK> При чем, характерная особенность: Наличие строки 
DLK> Received disconnect from 64.238.37.22: 11: Bye Bye
DLK> Особенно "Bye Bye" ...

DLK> Подскажите, если кто знает, чем он это делает...

DLK> Честно обещаю, только для внутреннего применения :)

DLK> А тому, кто скажет, ни чего не будет, кроме моей благодарности :)

:)
Не знаю, этим ли подбирают, но можете посмотреть например здесь:
THC-Hydra
 A very fast network logon cracker which support many different services
 Last update 2006-01-23
http://thc.org/thc-hydra/


DLK> А если мне удастся настроить защиту от такого рода атак, расскажу всем.

Вот, нашел в течении 10 минут поиска, но не разбирался...

Fail2Ban scans log files like /var/log/pwdfail or
/var/log/apache/error_log and bans IP that makes too many password
failures. It updates firewall rules to reject the IP address.
http://fail2ban.sourceforge.net
http://www.the-art-of-web.com/system/fail2ban/

pam_abl
Provides auto blacklisting of hosts and users responsible for repeated
failed authentication attempts. Generally configured so that
blacklisted users still see normal login prompts but are guaranteed to
fail to authenticate.   
http://www.hexten.net/pam_abl/

-- sshdfilter V1.4.2 --
ssh brute force attack blocker 
Introduction
sshdfilter blocks the frequent brute force attacks on ssh daemons, it
does this by directly reading the sshd logging output and generating
iptables rules, the process can be quick enough to block an attack
before they get a chance to enter any password at all.   
http://www.csc.liv.ac.uk/~greg/sshdfilter/

-- 
С уважением,
 Dank