From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: <4alt@mail.ru> Date: Fri, 17 Mar 2006 21:53:16 +0200 From: Dank Bagryantsev <4alt@mail.ru> X-Priority: 3 (Normal) Message-ID: <9510174868.20060317215316@lugaport.net> To: ALT Linux sysadmin discuss In-Reply-To: <20060317102024.1a4eb52e@shadow.orionagro.com.ua> References: <20060317102024.1a4eb52e@shadow.orionagro.com.ua> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] SSH Brute force X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: Dank Bagryantsev <4alt@mail.ru>, ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 17 Mar 2006 19:53:36 -0000 Archived-At: List-Archive: Здравствуйте, Dmitriy. Вы писали 17 марта 2006 г., 10:20:24: DLK> Есть у нас один стрелец, шибко грамотный, стервец... (С) "Про Федота..." DLK> Так вот, он, гад, постоянно пытается поиметь мой сервер путем подбора DLK> пароля к моему SSHd ... DLK> При чем, характерная особенность: Наличие строки DLK> Received disconnect from 64.238.37.22: 11: Bye Bye DLK> Особенно "Bye Bye" ... DLK> Подскажите, если кто знает, чем он это делает... DLK> Честно обещаю, только для внутреннего применения :) DLK> А тому, кто скажет, ни чего не будет, кроме моей благодарности :) :) Не знаю, этим ли подбирают, но можете посмотреть например здесь: THC-Hydra A very fast network logon cracker which support many different services Last update 2006-01-23 http://thc.org/thc-hydra/ DLK> А если мне удастся настроить защиту от такого рода атак, расскажу всем. Вот, нашел в течении 10 минут поиска, но не разбирался... Fail2Ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP that makes too many password failures. It updates firewall rules to reject the IP address. http://fail2ban.sourceforge.net http://www.the-art-of-web.com/system/fail2ban/ pam_abl Provides auto blacklisting of hosts and users responsible for repeated failed authentication attempts. Generally configured so that blacklisted users still see normal login prompts but are guaranteed to fail to authenticate. http://www.hexten.net/pam_abl/ -- sshdfilter V1.4.2 -- ssh brute force attack blocker Introduction sshdfilter blocks the frequent brute force attacks on ssh daemons, it does this by directly reading the sshd logging output and generating iptables rules, the process can be quick enough to block an attack before they get a chance to enter any password at all. http://www.csc.liv.ac.uk/~greg/sshdfilter/ -- С уважением, Dank