URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 60976
[ Назад ]

Исходное сообщение
"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."

Отправлено opennews , 16-Ноя-09 13:05 
В заметке "Rickrolled? Get Ready for the Hail Mary Cloud! (http://bsdly.blogspot.com/2009/11/rickrolled-get-ready-for-h...)" рассказано о новой распределенной ботнет-сети, специализирующейся на проникновении путем подбора паролей через SSH. Классические методы блокирования "brute force" атак слабо помогают против новой сети, так как с одного IP адреса производится лишь несколько попыток проверки - в подборе участвуют несколько тысяч машин, каждая из которых перебирает относительно небольшой диапазон вариантов перебора.


Поставленный эксперимент показал, что к одной из тестовых машин была зафиксирована однородная активность по подбору типовых паролей с 1767 хостов, трафик с которых не носил аномальный характер, а был равномерно распределен во времени, не достигая порога реагирования со стороны систем по блокированию атак.

URL: http://bsdly.blogspot.com/2009/11/rickrolled-get-ready-for-h...
Новость: http://www.opennet.me/opennews/art.shtml?num=24276


Содержание

Сообщения в этом обсуждении
"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Salvator , 16-Ноя-09 13:05 
Кто мешает вешать ssh на не стандартный порт? После смены порта попытки подбора пароля вообще прекратились

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено anonymous , 16-Ноя-09 13:14 
> Кто мешает вешать ssh на не стандартный порт? После смены порта попытки подбора пароля вообще прекратились

Ну, это решение имени страуса, IMO.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Alen , 16-Ноя-09 17:00 
и все же весьма эффективное, особенно в комплексе с другими.
видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже 2 года
никаких брутфорсов.
К недостаткам можно отнести только усложнение работы с sftp и тд, но все решается прочтением манов.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 17:11 
>и все же весьма эффективное, особенно в комплексе с другими.
>видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже
>2 года
>никаких брутфорсов.
>К недостаткам можно отнести только усложнение работы с sftp и тд, но
>все решается прочтением манов.

Не надо бояться попыток подбора пароля. При современных объёмах жёстких дисков экономить на логах — идиотизм. Бояться надо плохих паролей и других дыр безопасности.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Hety , 16-Ноя-09 21:11 
Лучше читать логи, где нет сообщений о попытках подбора. Это здорово экономит время.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 21:15 
>Лучше читать логи, где нет сообщений о попытках подбора. Это здорово экономит
>время.

Если вам так надо — фильтруйте, и всё. Средств для этого тонны: от grep до супернавороченных IDS. Мне вот такие логи помогают быть в курсе современных тенденций по выбору паролей — всегда пригодится. ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Alen , 16-Ноя-09 17:01 
и все же весьма эффективное, особенно в комплексе с другими.
видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже 2 года
никаких брутфорсов.
К недостаткам можно отнести только усложнение работы с sftp и тд, но все решается прочтением манов.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено ононим , 16-Ноя-09 13:17 
я у себя в логах ни разу не обнаружил попыток "левого" логина. единственно, что сделал, так это отсеял все запросы на 22 порт, исходящие из сетей других провайдеров.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Димтнрий , 16-Ноя-09 15:02 
я давно заметил (больше месяца назад)у себя подобное и сразу ограничил доступ по ssh (hosts.allow) только с тех адресов, с которых действительно это может быть нужно

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено edo , 17-Ноя-09 12:47 
Вы никогда не бываете в отпуске, в комнадировке, на природе, ...?

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 14:08 
Это не защита, а костыль, который возможно будет помогать до тех пор, пока мало кто так делает. Порты перебрать не трудно.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено anonymous , 16-Ноя-09 14:19 
Для перебрать все порты на машину надо будет еще стукнуться несколько десятков тысяч раз. А потом еще перебор паролей, что IDS'ом или просто правилом в iptables отловится намного лучше. Вполне нормальное решение, особенно при том, что минусов как бы и не имеет.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 16:10 
Минусы имеет: нестандартная конфигурация. "Стукнуться несколько десятков тысяч раз" — не проблема для распределенной атаки. Если вы просто добавите к своему паролю один символ, вы более существенно увеличите защищенность своей системы, и без костылей.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено anonymous , 16-Ноя-09 16:24 
Нестандартная это понятно, но какие минусы это даст на практике? Если только к вам должны иметь доступ по ssh и те, кто без понятия на каком порту он у вас там висит, и кому вы особо не можете указать, куда стучаться, разве что так.

> не проблема для распределенной атаки.

Тем не менее, при ней далеко не все стучащиеся доживут до перебора паролей, что есть таки плюс.

> Если вы просто добавите к своему паролю один символ, вы более существенно увеличите защищенность своей системы, и без костылей.

Длина пароля само собой. Но перенос не общеупотребительного сервиса (не pop/smtp/www же) на нестандартный порт имхо не костыль, а вполне нормальная мера безопасности.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 18:02 
Уже писал в другой ветке (#52):

Использование нестандартного порта увеличивает перебор _на_ 2^16 (немного больше 65000), добавление к паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом, если в пароле больше 2-х символов, выбор нестандартного порта не даст заметного улучшения безопасности.

И еще здесь уже было правильно сказано (#80):

Перенос порта — это чистой воды security by obscurity.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено anonymous , 16-Ноя-09 18:36 
>Перенос порта — это чистой воды security by obscurity.
> obscurity сущ. 1) а) неизвестность, безвестность; незаметность

В таком смысле — ну да. И поэтому оно неплохое добавление к сложному паролю. Сначала пусть найдут, а потом уже ломают, это не пересекающиеся методы защиты же )


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 18:43 
>>Перенос порта — это чистой воды security by obscurity.
>> obscurity сущ. 1) а) неизвестность, безвестность; незаметность
>
>В таком смысле — ну да. И поэтому оно неплохое добавление к
>сложному паролю. Сначала пусть найдут, а потом уже ломают, это не
>пересекающиеся методы защиты же )

security by obscurity — это не защита, это её имитация. Найти при желании — пара пустяков. А атака с желанием сломать конкретно данную машину — вполне реальная и намного более сильная угроза (в том же направлении). Поэтому защищаться надо от неё (или от ещё более сильной угрозы, если такая имеет место быть). Это азы компьютерной безопасности, вообще-то. ;) Против ботов имеет смысл поставить только на фаерволе ограничение по количеству подключений в единицу времени, чтобы sshd не так сильно нагружался и меньше в логи гадил.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено qux , 16-Ноя-09 19:29 
>security by obscurity — это не защита, это её имитация.

Незаметность не защита? Военные с их маскировочными раскрасками, стелс-технологиями и прочими мерами тут резко огорчились ;)

>Найти при желании — пара пустяков. А атака с желанием сломать конкретно данную
>машину — вполне реальная и намного более сильная угроза (в том
>же направлении). Поэтому защищаться надо от неё (или от ещё более
>сильной угрозы, если такая имеет место быть).

Согласен, хотя тема тут всё-таки начиналась только с ботов. Но тогда имеем то, что живому взломщику все равно для начала надо будет найти живой sshd, например. На стандартном порту он его нащупает влет с нулем усилий, на засунутом подальше — только имея ботнет, да еще и достаточно большой, чтобы жертва всех не перебанила. Имхо, уже достаточный аргумент для такой ничего не стоящей меры, как перенос порта.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 20:12 
>>security by obscurity — это не защита, это её имитация.
>
>Незаметность не защита? Военные с их маскировочными раскрасками, стелс-технологиями и прочими мерами
>тут резко огорчились ;)

Перенос порта — это НЕ маскировка. И obscurity в данном случае переводится НЕ как «маскировка», а скорее как «запутанность». Если брать военную аналогию (я так надеялся, что вы не совершите этой ошибки с маскировкой, но что поделать…), то перенос порта — это как если ракеты перевезти из квадрата «А» в квадрат «Б»: поможет только против совсем неосведомлённого противника. И не забывайте ещё, что узнать расположение ракетного склада сложнее, чем просканить порты…

>[оверквотинг удален]
>>машину — вполне реальная и намного более сильная угроза (в том
>>же направлении). Поэтому защищаться надо от неё (или от ещё более
>>сильной угрозы, если такая имеет место быть).
>
>Согласен, хотя тема тут всё-таки начиналась только с ботов. Но тогда имеем
>то, что живому взломщику все равно для начала надо будет найти
>живой sshd, например. На стандартном порту он его нащупает влет с
>нулем усилий, на засунутом подальше — только имея ботнет, да еще
>и достаточно большой, чтобы жертва всех не перебанила. Имхо, уже достаточный
>аргумент для такой ничего не стоящей меры, как перенос порта.

Заиметь ботнет — точнее, арендовать — совсем не сложно, было бы желание. Стоит копейки. Если совсем жаба душит (хотя такого противника обычно и бояться нечего) — найти XSS на достаточно посещаемом ресурсе и заставить его посетителей сканить порты через URL вида http://server.domain:1470/ . ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено qux , 16-Ноя-09 21:32 
>это как если ракеты
>перевезти из квадрата «А» в квадрат «Б»: поможет только против совсем
>неосведомлённого противника.

Неосведомленность противника не сделает его удар легче. Есть некоторая заметная вероятность, что как-то поможет — ну и хорошо. Не буду утверждать, что спец в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей же. Поэтому имхо чем больше вероятностей взлома перемножать, тем лучше, тем меньшая цифра будет в конце. Конечно, если в данном случае лекарство не хуже болезни, но перенос порта имхо в среднем достаточно безболезнен.

>Заиметь ботнет — точнее, арендовать — совсем не сложно, было бы желание.
>Стоит копейки. Если совсем жаба душит (хотя такого противника обычно и
>бояться нечего) — найти XSS на достаточно посещаемом ресурсе и заставить
>его посетителей сканить порты через URL вида http://server.domain:1470/ . ;)

Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая непрофессиональная, но от этого не перестающая быть нежелательной.

>И не забывайте ещё, что узнать расположение ракетного склада
>сложнее, чем просканить порты…

С этими аналогиями можно далеко зайти, но незаметность и маскировка не всегда настолько глобальны же. Полевой камуфляж, по сравнению с цветом кожи, уже дает достаточно преимуществ, чтобы ним пользовались уже вон сколько, и пока отказываться не собирались.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 22:14 
>>это как если ракеты
>>перевезти из квадрата «А» в квадрат «Б»: поможет только против совсем
>>неосведомлённого противника.
>
>Неосведомленность противника не сделает его удар легче. Есть некоторая заметная вероятность, что
>как-то поможет — ну и хорошо.

Поможет. Но поможет и средство от более серьёзной атаки. Поэтому более слабое средство попросту бессмысленно — более того, затраты на его использование, связанные с кастомизацией, _больше_ затрат на грамотную защиту.

> Не буду утверждать, что спец
>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>же.

Обсуждаемую в новости проблему он закрывает.

> Поэтому имхо чем больше вероятностей взлома перемножать, тем лучше, тем
>меньшая цифра будет в конце. Конечно, если в данном случае лекарство
>не хуже болезни, но перенос порта имхо в среднем достаточно безболезнен.

И бесполезен. Только сами потом голову будете ломать, на какой же порт вы его повесили. И не просканить — ваша собственная защита ваш IP и заблокирует, останется только… создавать/арендовать ботнет?!

>>Заиметь ботнет — точнее, арендовать — совсем не сложно, было бы желание.
>>Стоит копейки. Если совсем жаба душит (хотя такого противника обычно и
>>бояться нечего) — найти XSS на достаточно посещаемом ресурсе и заставить
>>его посетителей сканить порты через URL вида http://server.domain:1470/ . ;)
>
>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>непрофессиональная, но от этого не перестающая быть нежелательной.

Она с тем же успехом отвалится и от других, более жёстких и эффективных, мер.

>>И не забывайте ещё, что узнать расположение ракетного склада
>>сложнее, чем просканить порты…
>
>С этими аналогиями можно далеко зайти, но незаметность и маскировка не всегда
>настолько глобальны же. Полевой камуфляж, по сравнению с цветом кожи, уже
>дает достаточно преимуществ, чтобы ним пользовались уже вон сколько, и пока
>отказываться не собирались.

Во-первых, повторюсь: перенос порта НЕ есть маскировка. Во-вторых, просканить порты ботнетом — легко и безопасно. Вычислять маскирующегося противника в поле намного сложнее и опаснее.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено qux , 16-Ноя-09 22:54 
>более слабое средство попросту бессмысленно

Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых более сильным — согласен. Но имхо это не тот случай же.

>более того, затраты на его использование, связанные
>с кастомизацией, _больше_ затрат на грамотную защиту.

Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?

>> Не буду утверждать, что спец
>>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>>же.
>Обсуждаемую в новости проблему он закрывает.

Хорошо, но в реале все равно приходится защищаться от всего, что только можно придумать.

>И бесполезен. Только сами потом голову будете ломать, на какой же порт
>вы его повесили. И не просканить — ваша собственная защита ваш
>IP и заблокирует, останется только… создавать/арендовать ботнет?!

Я не говорил, что на всех машинах надо его еще и разным делать ) Оно конечно будет на какую-то долю процента эффективнее, но тут тоже согласен, шкурка вычинки не стоит.
А уж один новый порт можно и запомнить, особенно если выбирать его не совсем из /dev/urandom

>>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>>непрофессиональная, но от этого не перестающая быть нежелательной.
>Она с тем же успехом отвалится и от других, более жёстких и
>эффективных, мер.

Более жестких и эффективных, чем "нет у меня никакого ssh"? До "если найду" еще дойти надо, с некоторыми затратами времени и сил.

>Во-первых, повторюсь: перенос порта НЕ есть маскировка.

Я лично под этим термином понимаю что-то вроде "меня здесь нет". И тогда вполне маскировка, хоть и вполне преодолеваемая, конечно.

>Во-вторых, просканить порты ботнетом — легко и безопасно.

Ладно, тогда так: вы считаете, что любой взломщик, работающий без ботнета, представляет нулевую опасность на всем множестве вариантов атак существующих и тех, которые еще появятся?


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 23:21 
>>более слабое средство попросту бессмысленно
>
>Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых
>более сильным — согласен. Но имхо это не тот случай же.

Именно тот.

>>более того, затраты на его использование, связанные
>>с кастомизацией, _больше_ затрат на грамотную защиту.
>
>Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?

А также дополнительная настройка и поддержка сервисов, работающих поверх SSH.

>>> Не буду утверждать, что спец
>>>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>>>же.
>>Обсуждаемую в новости проблему он закрывает.
>
>Хорошо, но в реале все равно приходится защищаться от всего, что только
>можно придумать.

Постулат безопасности: система считается достаточно защищённой, если противнику для её взлома требуется затратить больше средств, чем он получит бонусов в результате взлома.

>>И бесполезен. Только сами потом голову будете ломать, на какой же порт
>>вы его повесили. И не просканить — ваша собственная защита ваш
>>IP и заблокирует, останется только… создавать/арендовать ботнет?!
>
>Я не говорил, что на всех машинах надо его еще и разным
>делать ) Оно конечно будет на какую-то долю процента эффективнее, но
>тут тоже согласен, шкурка вычинки не стоит.
>А уж один новый порт можно и запомнить, особенно если выбирать его
>не совсем из /dev/urandom

Можно. Только порты типа 2022 и так уже нередко сканят. ;) Да и смысл перевешивать на легко угадываемый порт?!

>>>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>>>непрофессиональная, но от этого не перестающая быть нежелательной.
>>Она с тем же успехом отвалится и от других, более жёстких и
>>эффективных, мер.
>
>Более жестких и эффективных, чем "нет у меня никакого ssh"? До "если
>найду" еще дойти надо, с некоторыми затратами времени и сил.

Нормальной системе брутфорс попросту не страшен. А насчёт «дойти надо» — кому надо, тот и дойдёт. И тогда плакали все ваши, пардон, извращения.

>>Во-первых, повторюсь: перенос порта НЕ есть маскировка.
>
>Я лично под этим термином понимаю что-то вроде "меня здесь нет". И
>тогда вполне маскировка, хоть и вполне преодолеваемая, конечно.

Перенос порта — это переезд из одной квартиры в другую в том же доме. Вот port knocking — это да, маскировка. Со своими неудобностями, но всё же неплохой и порой оправданный метод.

>>Во-вторых, просканить порты ботнетом — легко и безопасно.
>
>Ладно, тогда так: вы считаете, что любой взломщик, работающий без ботнета, представляет
>нулевую опасность на всем множестве вариантов атак существующих и тех, которые
>еще появятся?

Нет, наоборот. Но взлом одиночкой будет вестись, если он не мазохист или не смог найти дыру в используемом SSH-сервере (а это уже, согласитесь, далеко не уровень kiddie-брутфорсера), через другие сервисы: WWW, FTP, SMTP… Хакер может попробовать типовые комбинации, типа test:test, но не более. SSH (точнее, самые популярные его реализации) достаточно надёжен, чтобы открывать его всему миру — если его надёжность не ослабляется кривой политикой безопасности.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено qux , 17-Ноя-09 12:46 
>>Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых
>>более сильным — согласен. Но имхо это не тот случай же.
>Именно тот.
>SSH (точнее, самые популярные его реализации) достаточно надёжен, чтобы открывать его всему миру — если его надёжность не ослабляется кривой политикой безопасности.

Хотел спросить, хотите ли вы сказать, что тут все возможные (и в будущем) атаки на сервис ограничиваются прямым перебором пароля, но вы ниже ответили. Возможно, мне стоит умерить фантазию и паранойю, не спорю )

>>Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?
>А также дополнительная настройка и поддержка сервисов, работающих поверх SSH.

Под вписыванием порта в конфиги и имел в виду настройку сервисов. Если только это, то невелики затраты, имхо.

>>Хорошо, но в реале все равно приходится защищаться от всего, что только
>>можно придумать.
>Постулат безопасности: система считается достаточно защищённой, если противнику для её взлома требуется
>затратить больше средств, чем он получит бонусов в результате взлома.

К этому постулату уже сложновато приводить взломы, не имеющие явной коммерческой ценности для автора. А если в его бонусы еще и входит удовольствие уже от процесса, то еще сложнее.
Хотя да, и по нему же можно говорить, что из
> насчёт «дойти надо» — кому надо, тот и дойдёт

какой-то процент атакующих будет отваливаться на каждой принятой мере безопасности, так как оно им не настолько надо.

>>А уж один новый порт можно и запомнить, особенно если выбирать его
>>не совсем из /dev/urandom
>Можно. Только порты типа 2022 и так уже нередко сканят. ;) Да
>и смысл перевешивать на легко угадываемый порт?!

22345, 12322, 22446, 46822, 22{любое запоминающееся трехзначное число},... Пусть угадывают )

>Перенос порта — это переезд из одной квартиры в другую в том
>же доме. Вот port knocking — это да, маскировка. Со своими
>неудобностями, но всё же неплохой и порой оправданный метод.

Аналогия имхо не совсем точна, в сторону большей благоприятности. В реале взломщик не будет же бегать по многоквартирному дому, ища того, кто ему надо, если по известному номеру квартиры его не оказалось.
Если позволить себе еще раз дернуть военные аналогии, перенос порта — малозаметность, port knocking — незаметность. Второе, конечно, эффективнее, но и минусы больше, соответственно область применения меньше.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено DenSha , 19-Ноя-09 09:33 
>Перенос порта — это НЕ маскировка. И obscurity в данном случае переводится
>НЕ как «маскировка», а скорее как «запутанность». Если брать военную аналогию
>(я так надеялся, что вы не совершите этой ошибки с маскировкой,
>но что поделать…)

Другую аналогию: человек пытается вылезти за зону артобстрела, а ему вслед: "куда, дурачок? оставайся, будем прикрываться здесь!"...


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 19-Ноя-09 13:41 
>>Перенос порта — это НЕ маскировка. И obscurity в данном случае переводится
>>НЕ как «маскировка», а скорее как «запутанность». Если брать военную аналогию
>>(я так надеялся, что вы не совершите этой ошибки с маскировкой,
>>но что поделать…)
>
>Другую аналогию: человек пытается вылезти за зону артобстрела, а ему вслед: "куда,
>дурачок? оставайся, будем прикрываться здесь!"...

Некорректно. Чуть-чуть корректнее — человек перелезает из одного окопа в другой, где народу меньше. Но для артиллерии он по-прежнему досягаем, в этом плане ничего не изменилось.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 20:17 
>Согласен, хотя тема тут всё-таки начиналась только с ботов.

Вообще, ИМХО, обсуждаемая в новости тема выеденного яйца, если честно, не стоит.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Anonyamous , 17-Ноя-09 00:32 
>Уже писал в другой ветке (#52):
>
>Использование нестандартного порта увеличивает перебор _на_ 2^16 (немного больше 65000), добавление к
>паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом,
>если в пароле больше 2-х символов, выбор нестандартного порта не даст
>заметного улучшения безопасности.
>
>И еще здесь уже было правильно сказано (#80):
>
>Перенос порта — это чистой воды security by obscurity.

если к переносу порта использовать какие-то возможности фильтра, типа recent в netfilter,
то возможность подбора правильной комбинации порта+порта составит ~2^32 (>4000000000)
--dport $SSH -m recent --rcheck --name Any_nm -j ACCEPT
--dport $SSHENABLE-1 -m recent --name Any_nm --remove -j DROP
--dport $SSHENABLE -m recent --name Any_nm --set -j DROP
--dport $SSHENABLE+1 -m recent --name Any_nm --remove -j DROP


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено anonymous , 17-Ноя-09 00:41 
Интересная идея про  -m recent . Можно подробнее ? С описанием как это работает. Спасибо.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено anonanonovych , 17-Ноя-09 03:58 
посмотри совет #18 в этой статье - http://rus-linux.net/nlib.php?name=/MyLDP/sec/openssh.html
да и man iptables рулит

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 03:28 
>паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом,
>если в пароле больше 2-х символов, выбор нестандартного порта не даст
>заметного улучшения безопасности.

вы в этом так уверены? а я то думал, что увеличение как-то так пойдет:
128^(N+1)-128^N
где N длинна текущего пароля и N+1 длинна пароля увеличенного на один символ.
т.е. если у меня пароль из 6-ти символов и я увеличиваю его на один символ, то к перебору добавляется вариантов:
128^7-128^6=558551906910208
но т.к. я не пользуюсь специфичными символами, таблица со 128 сокращается до: 62-х (26*2+10), в этом случае:
62^7-62^6=3464814370624

вот и решай что выгоднее, переносить ссх, или добавить один символ к паролю...

но опять же найди админа у которого пароль 6-7-ми символьнй, у меня, например, нет паролей меньше 10-и символов.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено alexxisr , 17-Ноя-09 06:33 
>>паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом,
>
>вы в этом так уверены? а я то думал, что увеличение как-то
>так пойдет:
>128^(N+1)-128^N
>где N длинна текущего пароля и N+1 длинна пароля увеличенного на один
>символ.

- это одно и то же.
или В 128 раз,
или НА 128^(N+1)-128^N штук


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 11:01 
>>вы в этом так уверены? а я то думал, что увеличение как-то
>>так пойдет:
>>128^(N+1)-128^N
>>где N длинна текущего пароля и N+1 длинна пароля увеличенного на один
>>символ.
>
>- это одно и то же.
>или В 128 раз,
>или НА 128^(N+1)-128^N штук

читаем: "добавление к паролю всего одного символа увеличит перебор _в_ 128 раз"

тут говориться о приросте, а не кол-ве перебираемых комбинаций.
кол-во будет 128 раз больше, да.
прирост будет: 128^(N+1)-128^N.

128^3-128^2
2080768

128^2*128
2097152


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Дима Иванов , 16-Ноя-09 14:12 
Поддерживаю. SSH на другой порт и неожиданностей больше нет.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Димтнрий , 16-Ноя-09 15:06 
>Поддерживаю. SSH на другой порт и неожиданностей больше нет.

в данный момент может это и неплохое решение (просто потому что тупо перебирается логин и пароль), но кто знает, что будет в дальнейшем, лучше думаю все-таки разграничить доступ по этому порту только нужным компам


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено FSA , 16-Ноя-09 17:12 
Только поправочка. Метод хорош, если вам просто нужно закрыть вход для любопытных глаз, например как раз для целей создания ботнета. Смысл перебирать каждый порт на левых IP??? Проще найти SSH на стандартных портах. Тем более, что если порт нестандартный, то скорее всего и подобрать пароль для машины будет гораздо сложнее.
НО! Если ваш сервер/сеть представляет для кого-то интерес, то сменить порт - это ничто. Хотя как первый этап защиты пойдёт. А если ещё и закрывать порт при подозрениях сканирования портов тоже неплохо будет.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 17:23 
>Только поправочка. Метод хорош, если вам просто нужно закрыть вход для любопытных
>глаз, например как раз для целей создания ботнета. Смысл перебирать каждый
>порт на левых IP??? Проще найти SSH на стандартных портах. Тем
>более, что если порт нестандартный, то скорее всего и подобрать пароль
>для машины будет гораздо сложнее.
>НО! Если ваш сервер/сеть представляет для кого-то интерес, то сменить порт -
>это ничто. Хотя как первый этап защиты пойдёт. А если ещё
>и закрывать порт при подозрениях сканирования портов тоже неплохо будет.

Перенос порта — это чистой воды security by obscurity. Защищаться-то ведь надо от самой сильной атаки, а это обычно как минимум целенаправленное сканирование портов и подбор по конкретным учётным записям. Тратить время и силы на настройку и поддержку прочих решений — только лишний гемморой наживать.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Андрей , 16-Ноя-09 17:41 
>Поддерживаю. SSH на другой порт и неожиданностей больше нет.

согласен. ибо на перебор портов уже защита сработает.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 20:15 
> согласен. ибо на перебор портов уже защита сработает.

А если перебор распределенный, тоже сработает? От распределенного брутфорса вон не срабатывает. :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Warhead Wardick , 16-Ноя-09 20:18 
Дуууууу ... На перебор паролей значит не сработает, а на перебор портов - таки да? Да ви таки сказочник :)

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 13:17 
регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие логины типа test? Перевешивать на левый порт SSH не буду, пусть мучаются подбирают, использую ключи вместо паролей )

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено ьтл , 16-Ноя-09 16:32 
>регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие
>логины типа test?

а почему думаете нет? есть кривые настройки ssh в которых возможно разрешение конектить всем. потом жертва создает для теста юзеря, мозг естестна генерит что-то типа "test213" через которые его потом и имеют...

усложнить пасс и менять его каждые N дней, не вижу проблем чтоб добавить не стандартный порт, запретить конекты из Антарктиды. Все это уже хорошее решение, даже при том что руки будут повышенной кривизны.

а вообще забыть про пароли и использовать ключи, не стандартные порты, органиченный список доверительных хостов. Главное мозг включить и не забывать что нет непреодолимых защит, все равно терморектальный криптоанализ выдает все пароли и явки... поменьше нужно рассказывать о применяемым приемам... косить под дурака мол все по дефолту))



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Андрей , 16-Ноя-09 17:43 
>>регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие
>>логины типа test?
>
>а почему думаете нет? есть кривые настройки ssh в которых возможно разрешение
>конектить всем. потом жертва создает для теста юзеря, мозг естестна генерит
>что-то типа "test213" через которые его потом и имеют...

подтверждаю. был случай именно тестовой учетки test. через нее и хапнули ;-) но т.к. учетка ничем не владела, кроме как сунуть в /tmp файлик весом в 1.5MB и запустить его на поиск других узлов - ничего другого не вышло.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено edo , 17-Ноя-09 12:55 
а могли бы проверить с десяток local root exploit'ов

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Админ Веня , 16-Ноя-09 22:25 
я бы еще рекомендовал повесить "дырку" на 22 порт. пускай пробуют.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено m , 16-Ноя-09 13:19 
Пользуйтесь ключами и будем вам счастье

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 13:24 
Спасибо, такое счастье http://www.opennet.me/opennews/art.shtml?num=17592 нам не нужно.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 14:10 
А нефиг создавать ключи с пустой пассфразой.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено DEC , 16-Ноя-09 14:45 
А зачем тогда ключи? Можно просто килобайтный пароль юзать.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Daemontux , 16-Ноя-09 16:59 
>А зачем тогда ключи? Можно просто килобайтный пароль юзать.

Можно и ssh отключить и сервервер в сейфе запереть ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 17:27 
>  А зачем тогда ключи? Можно просто килобайтный пароль юзать.

man ssh-agent


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 16-Ноя-09 19:24 
>>  А зачем тогда ключи? Можно просто килобайтный пароль юзать.
>
>man ssh-agent

+1 :))


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено anonymous , 16-Ноя-09 17:45 
++

многофакторная аутентификация решает


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено gennady , 16-Ноя-09 13:20 
След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени.
Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь не улучшению безопасности.
Видимо скоро от ssh придется отказаться, как в свое время от telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC рулит.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zazik , 16-Ноя-09 13:22 
>След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени.
>
> Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь
>не улучшению безопасности.
> Видимо скоро от ssh придется отказаться, как в свое время от
>telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC
>рулит.

Слишком толсто. Протокол никак не влияет на выбор идиотом логина/пароля admin:admin.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено ibat , 17-Ноя-09 11:01 
>
>Слишком толсто. Протокол никак не влияет на выбор идиотом логина/пароля admin:admin.

Блин. Как ТЫ прав.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 16-Ноя-09 14:10 
> След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени

Замедлив перебор в 65 тысяч раз. Думайте головой иногда.

> Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь не
> улучшению безопасности

Наоборот. Новость как раз очень показательна - при такой распространенности unix систем, что на них начинают делать ботнеты, используют только уязвимости в людях.

> Видимо скоро от ssh придется отказаться, как в свое время от telnet. Т.к. переходить
> на гимор с сертификатам мало кто захочет. IPSEC рулит.

Бредятина.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavlinux , 16-Ноя-09 14:18 
function request_from_bot_server_port_range() {    

     i = get_worker_attakers()

     if ( i )  
        PORT_MIN =  1024 + (65535 - 1024 * i);
        PORT_MAX =  65535/i;

return "PORT_MIN-PORT_MAX";
}

PR = request_from_bot_server_port_range;

OPEN_PORTS = `nmap -sT server --scan-delay 2 -p $PR | grep open`

sleep 3600;

for i in $OPEN_PORTS
    do
       ssh  root@server -i identity_file -p $i;
       sleep 600;  
done

        
Как-то так :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 15:03 
В 65 тысяч раз он не замедлится. Он замедлится всего лишь на время, требуемое для сканирования портов.

А вот всего лишь добавление еще одного символа к паролю замедлит подбор в 128 раз.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 16:15 
Именно так. Использование нестандартного порта увеличивает перебор _на_ 65000, добавление к паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом, если в пароле больше 2-х символов, выбор нестандартного порта не даст заметного улучшения безопасности.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено qwertykma , 16-Ноя-09 16:20 
>В 65 тысяч раз он не замедлится. Он замедлится всего лишь на
>время, требуемое для сканирования портов.
>
>А вот всего лишь добавление еще одного символа к паролю замедлит подбор
>в 128 раз.

а вы не отслеживаете что кто-то перебирает у Вас порты? о_О


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 17:29 
> а вы не отслеживаете что кто-то перебирает у Вас порты? о_О

а вы не отслеживаете что кто-то перебирает у Вас пароли?


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 16-Ноя-09 18:50 
> В 65 тысяч раз он не замедлится

Да. При переборе 65 тысяч он вообще невозможен, потому что после обращения к 2-3 закрытым портам можно сразу банить.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 18:53 
>> В 65 тысяч раз он не замедлится
>
>Да. При переборе 65 тысяч он вообще невозможен, потому что после обращения
>к 2-3 закрытым портам можно сразу банить.

Нет, просто можно одновременно подбирать пароли на 65 000 хостов.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 16-Ноя-09 22:20 
И как это поможет?

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 22:29 
>И как это поможет?

Суммарная скорость подбора будет та же. Не забывайте, что речь сейчас идёт не о целенаправленных атаках. Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты. Например, узел A сканит порты 1024-1039, узел Б — 1040-1056 и т.д.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 17:33 
> Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты.

Повторяю - это уменьшение эффективности в 65 тысяч раз.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 17:39 
>> Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты.
>
>Повторяю - это уменьшение эффективности в 65 тысяч раз.

В рамках задачи ботнета — «найти как можно больше доступных шеллов» — нет. Ограничений на исходящие коннекты обычно нигде не делается, сканируй — не пересканируешь.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 18:19 
>Повторяю - это уменьшение эффективности в 65 тысяч раз.

не "в", а "на"



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено fetisheer , 16-Ноя-09 15:36 
>Т.к. переходить на гимор с сертификатам мало кто захочет.

Никакого гемороя с сертификатами нет:
1. Создание ключа. Если не хватает знаний и умений на генерацию ключа, то для этого есть множество GUI и скриптов, которые не требуют параметров.
2. Прописывание в authorized_keys. Здесь даже сложно придумать сложность. Единственное, если из под другого юзера прописываешь, то надо поменять права файла.
3. Использование. Если из-под *nix системы, то достаточно поместить в нужное место и он сам подхватиться. В ином случае добавление -i ключ - не большая нагрузка. Из под виндоус putty прекрасно работает с ключами.

Отказ от telnet - тоже не совсем верно. Он занял свою нишу. Например, все свичи у нас находятся в отдельном влане, недоступном для пользователей и управляются через telnet.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 16-Ноя-09 19:26 
>[оверквотинг удален]
>
>Никакого гемороя с сертификатами нет:
>1. Создание ключа. Если не хватает знаний и умений на генерацию ключа,
>то для этого есть множество GUI и скриптов, которые не требуют
>параметров.
>2. Прописывание в authorized_keys. Здесь даже сложно придумать сложность. Единственное, если из
>под другого юзера прописываешь, то надо поменять права файла.
>3. Использование. Если из-под *nix системы, то достаточно поместить в нужное место
>и он сам подхватиться. В ином случае добавление -i ключ -
>не большая нагрузка. Из под виндоус putty прекрасно работает с ключами.

ssh-agent :)) как уже писали))


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено qwertykma , 16-Ноя-09 16:22 
> Видимо скоро от ssh придется отказаться, как в свое время от
>telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC
>рулит.

Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 21:51 
>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.

Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак, пароль в открытом виде... особенно круто если вы за тридевять земель и по воздуху его шлете, ага). А локально порулить любой дурак может, только сидеть как цербер над железкой только потому что она тупая - не прикольно ни разу, имхо.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 03:46 
>>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
>
>Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак,
>пароль в открытом виде... особенно круто если вы за тридевять земель
>и по воздуху его шлете, ага). А локально порулить любой дурак
>может, только сидеть как цербер над железкой только потому что она
>тупая - не прикольно ни разу, имхо.

заходите на сервак по ssh с него к свитчу по telnet и айда все крушить и ломать


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 17-Ноя-09 09:38 
>заходите на сервак по ssh с него к свитчу по telnet

Ну да, легко стоять на плечах гигантов :P. А без ssh-а (или иного секурного туннеля) то и опаньки.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 10:39 
>>заходите на сервак по ssh с него к свитчу по telnet
>
>Ну да, легко стоять на плечах гигантов :P. А без ssh-а (или
>иного секурного туннеля) то и опаньки.

конечно, но пользовать то все равно можно, хоть и через костыли, если вдруг нужно ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 21-Ноя-09 08:40 
Мне кажется что юзать телнет подставив ему SSH - редкий идиотизм. И изгаляться так приходится только благодаря проприетарным тормозам прогресса, которые все никак не снимутся с ручника и реализуют то что им проще а не то что реально удобнее клиентам...

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Sto , 21-Ноя-09 18:00 
>>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
>
>Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак,
>пароль в открытом виде... особенно круто если вы за тридевять земель
>и по воздуху его шлете, ага). А локально порулить любой дурак
>может, только сидеть как цербер над железкой только потому что она
>тупая - не прикольно ни разу, имхо.

да ну?
посмотрите как-нибудь телнет-сессию между двумя WIN-серверами в одном домене
потом пишите ... ересь всякую



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено klalafuda , 16-Ноя-09 13:25 

эммм... а что, кто-то ещё ходит по ssh не через ключи но через пароли? хм. ну что ж, ССЗБ как говорится. 'Тогда мы идём к вам!' (c)..

// wbr


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zazik , 16-Ноя-09 13:42 
>
>эммм... а что, кто-то ещё ходит по ssh не через ключи но
>через пароли? хм. ну что ж, ССЗБ как говорится. 'Тогда мы
>идём к вам!' (c)..
>
>// wbr

Чем плохи пароли?


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 13:55 
>Чем плохи пароли?

Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем остальным для которых открыт беспарольный доступ по ключам.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zazik , 16-Ноя-09 14:04 
>>Чем плохи пароли?
>
>Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем
>остальным для которых открыт беспарольный доступ по ключам.

Кейлоггеры решают эту проблему для парольной защиты. А ключи надо хранить на сменном носителе.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено vbv , 16-Ноя-09 14:58 
ключи надо хранить на сменном носителе.....
Пить надо меньше.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zazik , 16-Ноя-09 15:18 
>ключи надо хранить на сменном носителе.....
>Пить надо меньше.

Куда уж меньше.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 21:53 
>Кейлоггеры решают эту проблему для парольной защиты.

Ну если так рассуждать то и файло ремовабельного носителя в принципе умыкнуть можно, в том числе и достаточно незаметно. Если вам подсунули кейлоггер - то и приблуду которая ключ с флехи вынет подсунут с таким же успехом.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zazik , 16-Ноя-09 22:01 
>>Кейлоггеры решают эту проблему для парольной защиты.
>
>Ну если так рассуждать то и файло ремовабельного носителя в принципе умыкнуть
>можно, в том числе и достаточно незаметно. Если вам подсунули кейлоггер
>- то и приблуду которая ключ с флехи вынет подсунут с
>таким же успехом.

Можно. Поэтому, как здесь уже не раз говорилось, главное - мозг(точнее, его наличие), а не ключи/пароли.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Name , 16-Ноя-09 16:24 
>Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем
>остальным для которых открыт беспарольный доступ по ключам.

Ну если это машина, на которую заходят, то пофигу, пусть смотрят принимающий ключ, мастера то не получат



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено mike_t , 16-Ноя-09 13:43 
клаф, муторно с ключами и не всегда удобно

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Василий , 16-Ноя-09 13:54 
>клаф, муторно с ключами и не всегда удобно

Не просто муторно и неудобно, а в некоторых случаях ещё и совсем невозможно. Не каждый клиент умеет работать с ключами, а ситуации, в которых только такие клиенты под рукой, бывают. MidpSSH, например: SSH application for Java compatible phones and other mobile devices.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zzz , 16-Ноя-09 14:04 
midpssh как раз умеет по ключу, а в некоторых случаях даже _только_ по ключу (по паролю у него не получается)

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено ьтл , 16-Ноя-09 17:55 
>Не каждый клиент умеет работать с ключами

зачем тогда беспокоится о безопастности!? если люди которые будут работать с системой не способны по бумажке-инструкции работать???


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Василий , 16-Ноя-09 20:43 
>>Не каждый клиент умеет работать с ключами
>
>зачем тогда беспокоится о безопастности!? если люди которые будут работать с системой
>не способны по бумажке-инструкции работать???

Люди пускай работают как хотят. А программы не все умеют работать с ключами. Пример такой программы приводил выше.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavlinux , 16-Ноя-09 14:03 
Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"

Причём, запоминается очень легко.

Самый лучший ключ - это мозг.
Ключ можно просрать, украсть, консоль открытой оставить, ...


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено gluk47 , 16-Ноя-09 14:47 
'Rj;fyyjq' с одной 'y' грамотнее))
И циферок можно добавить) А вообще, есть словари для перебора и непереключённого русского, хотя и не столь популярны. Можно попытаться делать всякие нестандартные ошибки и замены букв...

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavlinux , 16-Ноя-09 16:28 
>'Rj;fyyjq' с одной 'y' грамотнее))
>И циферок можно добавить) А вообще, есть словари для перебора и непереключённого
>русского, хотя и не столь популярны.

А зря, скажу по секрету, в банковской сфере очень распространённый прием,
вплоть до неприличных - Yfnfif, Ktyjxrf, - Наташа, Леночка,  Ukfd<e[ - ГлавБух,
Vjq Rjgm.nth - Мой Компьютер, Hf,jxbqGfhjkm - Рабочий Пароль, Ljvfiybq Gfhjkm - Домашниц Пароль и т.п. :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 22:06 
>А зря, скажу по секрету, в банковской сфере очень распространённый прием,

Этот прием очень распостранен у завирусованых дебилов из вконтакта просравших свои пароли, так что увы, банкиры оказались не оригинальнее чем типовой дебил кормящий рыб в контакте :D.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 22:17 
>>А зря, скажу по секрету, в банковской сфере очень распространённый прием,
>
>Этот прием очень распостранен у завирусованых дебилов из вконтакта просравших свои пароли,
>так что увы, банкиры оказались не оригинальнее чем типовой дебил кормящий
>рыб в контакте :D.

Собственно, это зачастую одна и та же аудитория…


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 17-Ноя-09 10:22 
я думаю что в итоге хаксоры составят словарики на такие пароли, благо, конверсия существующих словарей в вот такие возможна в автоматическом режиме, на 1 дыхании. Так что эффективность такого подхода имхо весьма сомнительна, особенно после того как было две убедительных выборки по бакланам с вконтакта показывающим что немалый процент оных строит пароли именно так.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavlinux , 16-Ноя-09 16:43 
> Можно попытаться делать всякие нестандартные ошибки и замены букв...

Собственно так же и создавать словарики.

Спасли бы ситуацию контрольные фразы, типа "Любимый футбольный игрок соседа",
или в связи с тотальной ГУЁвизацией, приделать пересылаемый Image объект с каляками.

    


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено ьтл , 16-Ноя-09 17:59 
>Самый лучший ключ - это мозг.

Самый лучший снифер это паяльник.


>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>
>Причём, запоминается очень легко.

man apg - не катит?


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 21:56 
>Самый лучший снифер это паяльник.

А вот от такого помогает ключ. Который можно и не таскать всегда с собой, а заодно можно и экстренно прое...ть "в случае чего".Правда тут еще вопрос надо ли, но тут уже по ситуации и в меру собственной дурости и храбрости.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Pilat , 16-Ноя-09 22:58 
>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>
>Причём, запоминается очень легко.
>

Для системного администратора такой пароль возможен, только если он помнит раскладку клавиатуры наизусть. А я однажды видел в Германии клавиатуру с нестандартной раскладкой, и кто гарантирует что такая не будет единственно доступной?


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 01:00 
>>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>>
>>Причём, запоминается очень легко.
>>
>
>Для системного администратора такой пароль возможен, только если он помнит раскладку клавиатуры
>наизусть. А я однажды видел в Германии клавиатуру с нестандартной раскладкой,
>и кто гарантирует что такая не будет единственно доступной?

В принципе верно. Хотя ИТ-шнику не уметь вслепую находить клавиши — ИМХО, недостойно. Но клавиатуры могут попасться самые разные (например, клавиатура мобильника, которая отнюдь не QWERTY) — а пытаться моторную память превратить в визуальную получается далеко не всегда, да и муторно это.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 13:43 
Сервер согласился что пароль рута "Мао Дзедун" ?

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 13:54 
ничего муторного с ключами нет, 2 раза прочел, 1 раз понял, 1 раз настроил.
А потом только любуешься на логи...

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 17-Ноя-09 10:36 
С сложным паролем тоже только любуешься на логи. И в чем выигрыш? А "любоваться" можно и на хренадцать мегов логов, если не повезло и брутят совершенно внаглую...

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 11:09 
>С сложным паролем тоже только любуешься на логи. И в чем выигрыш?
>А "любоваться" можно и на хренадцать мегов логов, если не повезло
>и брутят совершенно внаглую...

выигрыш в том, что ты экономишь время при заходах и не мучаешь клаву лишний раз забивая или копи-пастя пароль, а при наличии 10+ серверов у тебя либо везде один пароль - что является уязвимостью, либо табличка под рукой с этими паролями - что является уязвимостью. вот и думай кто дурак.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Ну типа имя , 16-Ноя-09 14:00 
Судя по логам идет подбор по логинам:

bin
clamav
ftp
mysql
news
nobody
root
www-data


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Sergey , 16-Ноя-09 14:03 
я делал не читая... там всё логично

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 14:14 
1. По возможности использовать ключи, а не пароли.
2. Всегда использовать только зашифрованные ключи с пассфразой, чтобы доступ к одной машине с ключами не позволил получить доступ ко всем остальным.

На самом деле, главная проблема: сервера с кучей пользователей, которых трудно заставить использовать надежные пароли.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavlinux , 16-Ноя-09 14:35 
>1. По возможности использовать ключи, а не пароли.
>2. Всегда использовать только зашифрованные ключи с пассфразой, чтобы доступ к одной
>машине с ключами не позволил получить доступ ко всем остальным.
>
>На самом деле, главная проблема: сервера с кучей пользователей, которых трудно заставить
>использовать надежные пароли.

PAM


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено V , 16-Ноя-09 20:47 
NSS

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Georges , 16-Ноя-09 14:39 
и все эти пользователи имеют доступ к серверу по SSH ?
тогда уж лучше вручную выдавать, или автоматически генерировать пароли

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 16:21 
> и все эти пользователи имеют доступ к серверу по SSH ?

Да. Например, это университетский сервер с SSH-доступом для студентов.

> тогда уж лучше вручную выдавать, или автоматически генерировать пароли

Так и делаем, но у пользователей остается возможность изменить пароль.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 16-Ноя-09 19:28 

>Так и делаем, но у пользователей остается возможность изменить пароль.

Забрать passwd :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zazik , 16-Ноя-09 20:28 
>
>>Так и делаем, но у пользователей остается возможность изменить пароль.
>
>Забрать passwd :)

/etc/passwd? Да хоть обчитайся.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 16-Ноя-09 21:46 
>>
>>>Так и делаем, но у пользователей остается возможность изменить пароль.
>>
>>Забрать passwd :)
>
>/etc/passwd? Да хоть обчитайся.

нет, бинарь :)
С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его нельзя (если тем же strace посмотреть, очень много где используется)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zazik , 16-Ноя-09 22:08 
>>>
>>>>Так и делаем, но у пользователей остается возможность изменить пароль.
>>>
>>>Забрать passwd :)
>>
>>/etc/passwd? Да хоть обчитайся.
>
>нет, бинарь :)
>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>нельзя (если тем же strace посмотреть, очень много где используется)

Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я в курсе.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 16-Ноя-09 23:46 
>[оверквотинг удален]
>>>>Забрать passwd :)
>>>
>>>/etc/passwd? Да хоть обчитайся.
>>
>>нет, бинарь :)
>>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>>нельзя (если тем же strace посмотреть, очень много где используется)
>
>Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я
>в курсе.

Ну вот, отберите права на запуск бинаря у обычных юзеров) Они и не сменят больше пароль


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zazik , 17-Ноя-09 10:19 
>[оверквотинг удален]
>>>
>>>нет, бинарь :)
>>>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>>>нельзя (если тем же strace посмотреть, очень много где используется)
>>
>>Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я
>>в курсе.
>
>Ну вот, отберите права на запуск бинаря у обычных юзеров) Они и
>не сменят больше пароль

В этом месте и не догнал. "Забрать passwd" == скачать passwd, скопировать passwd.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 11:11 
# ls -al /usr/bin/passwd
-r-sr-xr-x  2 root  wheel  6128 Nov 11 19:42 /usr/bin/passwd*

удачи.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено slay , 16-Ноя-09 14:23 
бредятина. есть 70 серваков, авторизация по паролям, за 8 лет пока не  подобрали. а через 3*8лет - пензия. пущай перебирают

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 14:41 
iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --update --seconds 600 --hitcount 4 -j DROP

И пускай долбятся хоть с миллиона хостов.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено al , 16-Ноя-09 15:39 
Будете сидеть и лапу сосать, когда вас задосят.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено НоуНэйм , 16-Ноя-09 16:00 
Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Ро , 17-Ноя-09 20:43 
>Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен

нормальный способ. блокируется ведь брутфорсер, а не весь интернет


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 18-Ноя-09 19:18 
>>Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен
>нормальный способ. блокируется ведь брутфорсер, а не весь интернет

и легального пользователя заблокирует если он чаще будете подключатся, это правило ведь не проверяет успешный вход был или нет, оно просто пакеты считает


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavel_simple , 18-Ноя-09 00:52 
>iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator
>--set
>iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator
>--update --seconds 600 --hitcount 4 -j DROP
>
>И пускай долбятся хоть с миллиона хостов.

наивный аноним даже не представляет, что при переполнении таблицы , старые записи удаляются -- так что перебор достаточно производить ip_list_tot + 1 , в свою очередь ip_list_tot по умолчанию равен 100.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 14:44 
Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились. Наверное как раз потому что срач в логе на много мегов - админов задалбывает и они имеют тенденцию бороться с такой активностью. И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем они их так подберут...

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено vbv , 16-Ноя-09 15:01 
>Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень
>нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились.
>Наверное как раз потому что срач в логе на много мегов
>- админов задалбывает и они имеют тенденцию бороться с такой активностью.
>И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи
>ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем
>они их так подберут...

Полностью поддерживаю! :-)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 16:19 
>Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень
>нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились.
>Наверное как раз потому что срач в логе на много мегов
>- админов задалбывает и они имеют тенденцию бороться с такой активностью.
>И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи
>ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем
>они их так подберут...

А ещё можно выдрать из логов особо внушительную подборку попыток подбора пароля, распечатать и принести генеральному, требуя повышения зарплаты за денную и нощную защиту его бизнеса от тысяч хакеров. ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 21:11 
>А ещё можно выдрать из логов особо внушительную подборку попыток подбора пароля,

Это надо было делать чуть раньше - логи пухли одно время очень конкретно, но сейчас хаксоры перестали наглеть (видимо, потому что такой срач в логи часто ведет к озадачиванию админов как с этим срачем бороться) и перешли к медленным и распределенным сканам.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 15:19 
Копец юниксоиды, увидев новость что червь подбирает пароли по словарику из ста слов, сразу начинают толкать идеи что надо ssh на другой порт перевешивать, сделать вход по ключам и отпечаткам пальцев или вообще не пользоваться ssh.

Это как некоторые отключаются от интернета, посмотрев нужные страницы, потому что в интернетах Вирусы.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 16-Ноя-09 15:44 
В идеале оно правильно.
Если в сервисе нет необходимости он должен быть отключен

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Гений , 16-Ноя-09 16:14 
DenyHosts (http://denyhosts.sourceforge.net/) простая и действенная защита от подбора паролей по ssh.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено ITCrow , 16-Ноя-09 16:14 
Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 16:22 
>Неужели у всех доступ к сервакам по SSH открыт не только для
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????

Ну, у всех не у всех, а мне вот удобнее так — в случае проблем на работе я могу в Сеть выйти хоть в Папуа Новой Гвинее, был бы GPRS или ещё какой способ достучаться. У всех свои задачи, и чем действительно хорош SSH — он даёт возможность их решать максимально безопасным в рамках их условий способом.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Vitaly_loki , 16-Ноя-09 18:43 
>Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????

Прикинь, едешь ты в паровозе далеко-далеко от дома и тут тебе SMS прилетает от крона (или от начальника) с сообщением "Все пропало, шеф", если твоем GSM-телефону персональный IP не выделен (причем в роуминге), то не сладко тебе придется едь ты по-любому только для рабочего и домашнего компа доступ то открыл..


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Vitaly_loki , 16-Ноя-09 18:45 
>Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????

Прикинь, едешь ты в паровозе далеко-далеко от дома и тут тебе SMS
прилетает от крона (или от начальника) с сообщением "Все пропало, шеф",
если твоему GSM-телефону персональный IP не выделен (причем в роуминге), то
не сладко тебе придется ведь ты по-любому только для рабочего и
домашнего компа доступ то открыл..


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 21:21 
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????

А потом, когда что-то опнется, а у вас только какойнить n800 (а то и вовсе только мобила) да жпрс под рукой - всосать, да? Нет уж, спасибочки, я видел достаточно дятлов наступивших на эти грабли, когда что-то упало, а у них под рукой только жпрс. Как-то +1 к их числу быть совсем неохота.

Кстати для маскировки под пенька есть забавная штука - port knocking. Для тех кто не знает последовательность стукания по портам - никакого ssh у вас как бы вообще не существует :-)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 16-Ноя-09 23:52 
>Кстати для маскировки под пенька есть забавная штука - port knocking. Для
>тех кто не знает последовательность стукания по портам - никакого ssh
>у вас как бы вообще не существует :-)

Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот если большую часть дня по ним ходишь, то рулит ssh-agent и bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 03:58 
>Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь, то рулит ssh-agent и
>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
>

алиасы... девушка, дуйте читать man ssh_config, а еще жайлы засирали, блин, тоже поди ман на них не осилили?

# head /root/.ssh/config
Host XXX
User admin
Port 999


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 17-Ноя-09 07:20 
>[оверквотинг удален]
>>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
>>
>
>алиасы... девушка, дуйте читать man ssh_config, а еще жайлы засирали, блин, тоже
>поди ман на них не осилили?
>
># head /root/.ssh/config
>Host XXX
> User admin
> Port 999

Тоже вариант, если везде используются разные порты. А Вы всегда сидите под рутом о_О:)?


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 11:29 
>Тоже вариант, если везде используются разные порты. А Вы всегда сидите под
>рутом о_О:)?

это правильный способ, а не вариант ;)

это удаленная машинка, на которой, в скрине, у меня идет работа с кучей других машинок, по-этому ничего страшного и криминального.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 17-Ноя-09 12:04 
>это удаленная машинка, на которой, в скрине, у меня идет работа с
>кучей других машинок, по-этому ничего страшного и криминального.

Ну да, такая "машинка" есть у многих (у нас даже несколько, под разные департаменты), но _зачем_ на ней сидеть под рутом :)?

Особенно если на "машинке" почти у всех запущен ssh-agent, и пользуется ей несколько человек?

Кстати, тогда уж /etc/ssh/ssh_config, который будет формироваться каким-нибудь скриптом, где-нибудь(в SQL, в LDAP, и т д) беря соотвествие хост-порт по крону :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 15:56 
>>это удаленная машинка, на которой, в скрине, у меня идет работа с
>>кучей других машинок, по-этому ничего страшного и криминального.
>
>Ну да, такая "машинка" есть у многих (у нас даже несколько, под
>разные департаменты), но _зачем_ на ней сидеть под рутом :)?
>
>Особенно если на "машинке" почти у всех запущен ssh-agent, и пользуется ей
>несколько человек?

она у меня монопольна в юзании. сидеть от юзера конечно можно было бы, но в данном случае не вижу разницы, тем-более рут упрощает жизнь, когда нужно что-то сделать с мониторилкой, которая соседствует со мной.

>Кстати, тогда уж /etc/ssh/ssh_config, который будет формироваться каким-нибудь скриптом, где-нибудь(в SQL, в
>LDAP, и т д) беря соотвествие хост-порт по крону :)

да, и это еще правильнее решение, если ведется нормальная база серверов с таковым описанием (хост,алиаст_хост,ип,порт,юзер). единственное, что я предпочитаю не трогать системные конфиги, если можно обойтись локальными, но если юзеров у вас много сидит, то оно оправдано.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 17-Ноя-09 12:17 
> а еще жайлы засирали, блин, тоже
>поди ман на них не осилили?

А Вы мне теперь это всю жизнь будете припоминать, и обязательно анонимно?

По-моему, высказать обоснованную критику любого решения это право каждого человека, Вы не находите?
Если Вы считаете, что с моей стороны в чем-то эта точка зрения объяснена недостаточно исчерпывающе и точно, я предлагаю продолжить в той теме _дискуссию_ если Вы в чем-то не согласны с данной позицией, либо в личке :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 16:10 
>> а еще жайлы засирали, блин, тоже
>>поди ман на них не осилили?
>
>А Вы мне теперь это всю жизнь будете припоминать, и обязательно анонимно?

анонимы все помнят, анонимы все знают :) был бы ник, написал бы от него.


>По-моему, высказать обоснованную критику любого решения это право каждого человека, Вы не
>находите?
>Если Вы считаете, что с моей стороны в чем-то эта точка зрения
>объяснена недостаточно исчерпывающе и точно, я предлагаю продолжить в той теме
>_дискуссию_ если Вы в чем-то не согласны с данной позицией, либо
>в личке :)

да, считаю, что вы не обоснованно раскритиковали жайлы, хотя это даже не критика, т.к. критика должны быть подтверждена фактами, коих не было. все что я хотел сказать, я сказал там, продолжать спор на эту тему думаю не уместно, вы сами сказали, что не хотите ни с кем ссорится и несколько раз делали попытки уйти из темы.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 17-Ноя-09 16:40 

>да, считаю, что вы не обоснованно раскритиковали жайлы, хотя это даже не
>критика, т.к. критика должны быть подтверждена фактами, коих не было. все
>что я хотел сказать, я сказал там, продолжать спор на эту
>тему думаю не уместно, вы сами сказали, что не хотите ни
>с кем ссорится и несколько раз делали попытки уйти из темы.

Факты были(я ответила на все разуменые комментарии и объяснила свою позицию детально), тема мне действительно надоела, но считаю, что Вы не правы в том, что факты я не предоставляла.

Если Вы хотите продолжить дискуссию, напишите в той теме, что именно я не подтвердила фактами, тут это оффтоп.



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 17-Ноя-09 09:40 
>Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь,

... то надо, наверное, написать скриптик который сделает за вас обезьянью работу :D


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 17-Ноя-09 10:15 
>Как то это... слишком уморительно.

Зато может спасти от такой напасти: когда кто-то слишком уж нагло брутит ssh, sshd имеет тенденцию довольно прилично кушать ресурсы, в общем то, при том не важно - удалась авторизация или нет, если их придет много, ресурсов будет на это дело покушано. Что как-то неприятненько. Ну и срач в логи.

>Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь, то рулит ssh-agent и
>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))

Оно в принципе не замена порткнокинга. Например см. выше почему. И, собственно я не понял - а какие проблемы автоматизировать стучание на порты? Просто у вас то скриптик или что там еще для стукания - есть, а вот хаксор Вася с улицы не знающий как стучать, видит только закрытый порт. И откуда б ему узнать как там надо правильно стучаться по портам чтобы порт открылся? В итоге даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп от фаера. Это несколько лучше чем если б они в 20 рыл насели на sshd с активным брутом.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 17-Ноя-09 11:59 
>[оверквотинг удален]
>
>Оно в принципе не замена порткнокинга. Например см. выше почему. И, собственно
>я не понял - а какие проблемы автоматизировать стучание на порты?
>Просто у вас то скриптик или что там еще для стукания
>- есть, а вот хаксор Вася с улицы не знающий как
>стучать, видит только закрытый порт. И откуда б ему узнать как
>там надо правильно стучаться по портам чтобы порт открылся? В итоге
>даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп
>от фаера. Это несколько лучше чем если б они в 20
>рыл насели на sshd с активным брутом.

Хорошо, возможно, Вы правы. Просто в большой сети вероятность того, что какой-то "левый" пакет попадет не на тот порт, и нарушит последовательность, мне кажется, выше. Но, наверное, ей можно принебречь)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 12:03 
>[оверквотинг удален]
>>- есть, а вот хаксор Вася с улицы не знающий как
>>стучать, видит только закрытый порт. И откуда б ему узнать как
>>там надо правильно стучаться по портам чтобы порт открылся? В итоге
>>даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп
>>от фаера. Это несколько лучше чем если б они в 20
>>рыл насели на sshd с активным брутом.
>
>Хорошо, возможно, Вы правы. Просто в большой сети вероятность того, что какой-то
>"левый" пакет попадет не на тот порт, и нарушит последовательность, мне
>кажется, выше. Но, наверное, ей можно принебречь)

"Левый пакет" с того же IP? Вероятность тут никак не зависит от размеров сети за фаерволом.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 17-Ноя-09 12:09 
>"Левый пакет" с того же IP? Вероятность тут никак не зависит от
>размеров сети за фаерволом.

Возможно, даже для публичного IP больше. Да, написала чушь. Скорее просто не хочется разбираться с тем, что *когда-нибудь* не пустит(что из-за большего числа хостов скорее случится), но, думаю, вероятность этого очень мала, так что, можно использовать:)

В общем, написала, повторюсь, чушь.

UPDATE: + чушь про публичный IP, он в любом случае-то публичный :)



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 17:33 
>Неужели у всех доступ к сервакам по SSH открыт не только для
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????

Разумеется. Вы http сервер тоже только для доверенных открываете?


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 16-Ноя-09 16:22 
Port knocking рулит.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 16:24 
Атаки с ботсетей наблюдаю уже далеко не первый год — почти столько, сколько прошло с первого поднятого SSH-сервера, доступного из инета. :) Ну пусть подбирают, что уж тут… Для особо упорных max-src-conn-rate в pf стоит, а те, кто себя аккуратно ведёт — может, за пару тыщ лет что-нибудь и подберут. :)

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено q2dm1 , 16-Ноя-09 16:33 
Можно iptables хитро настроить, чтобы он открывал 22 порт для соединения только после стука на какой-нить 43126 ;)

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Tav , 16-Ноя-09 16:42 
Такой же бесполезный костыль, как и ssh на нестандартном порте.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 17:09 
>Такой же бесполезный костыль, как и ssh на нестандартном порте.

И даже вредный: с мобильника пока постучишься по всем портам, все таймауты отвалятся.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 21:23 
>И даже вредный: с мобильника пока постучишься по всем портам, все таймауты
>отвалятся.

А скрипт написать? На какойнмть n8x0 вполне себе вариант :).А с чего-то более убогого ssh юзать слишком уж траходромно...


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 21:32 
>>И даже вредный: с мобильника пока постучишься по всем портам, все таймауты
>>отвалятся.
>
>А скрипт написать? На какойнмть n8x0 вполне себе вариант :).А с чего-то
>более убогого ssh юзать слишком уж траходромно...

Зато порой актуально. Я как-то раз с Motorola v535 что-то чинил. ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 22:07 
После n8x0 (которые вполне таскабельны с собой) ssh на остальных телефонах кажется каким-от нереальным порно...

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 22:17 
>После n8x0 (которые вполне таскабельны с собой) ssh на остальных телефонах кажется
>каким-от нереальным порно...

«Жизнь заставит — не так раскорячишься!» ©


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 17-Ноя-09 10:18 
Ну да, 1 разок не так давно было: забыл n800 зарядить и пришлось геморроиться с мобилы, putty-ей для S60, оставшейся с до-n800-ых времен. С тех пор я не забываю заряжать n800, т.к. оценил разницу в трудоемкости... :D.Хуже ssh с мобилы - только удаление гланд через *опу автогеном.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 11:58 
>Ну да, 1 разок не так давно было: забыл n800 зарядить и
>пришлось геморроиться с мобилы, putty-ей для S60, оставшейся с до-n800-ых времен.
>С тех пор я не забываю заряжать n800, т.к. оценил разницу
>в трудоемкости... :D.Хуже ssh с мобилы - только удаление гланд через
>*опу автогеном.

Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно ключики лежат и прочие приятности. ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено sHaggY_caT , 17-Ноя-09 12:22 

>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>ключики лежат и прочие приятности. ;)

Кстати, Вы шифрование $HOME не делали? Если да, то dm-crypt (если на ноуте Linux)? Или как-то еще?
Просто задумалась, как решить проблему возможной потери вместе с железкой какой-то информации... (кстати, и той же N800, которую я с собой тоже всегда тягаю, ноут таки слишком тяжелый для повседневного ношения, во всяком случае, для меня)



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 14:29 
>
>>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>>ключики лежат и прочие приятности. ;)
>
>Кстати, Вы шифрование $HOME не делали? Если да, то dm-crypt (если на
>ноуте Linux)? Или как-то еще?

Делал через vnconfig. Думаю в отпуске почистить систему и переехать на softraid. Да, это не Linux, это OpenBSD. :)

>Просто задумалась, как решить проблему возможной потери вместе с железкой какой-то информации...
>(кстати, и той же N800, которую я с собой тоже всегда
>тягаю, ноут таки слишком тяжелый для повседневного ношения, во всяком случае,
>для меня)

Это дело вкуса. :) Мой весит два кило — будучи таблеткой и с усиленной батареей. Когда доломаю — возьму что-нибудь ещё полегче (думаю всё же отказаться от функционала таблетки, сейчас стало малоактуально). Зато это настоящий, в полном смысле этого слова, персональный компьютер. :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 21-Ноя-09 08:54 
>Да, это не Linux, это OpenBSD. :)

На ноуте :).А кстати там управление питанием то нормальное? А то и с линухами то грабли бывают (да и не только с ними). А как с этим дела у OpenBSD?

P.S. это не попытка потроллить, мне просто натурально интересно состояние дел.

> Мой весит два кило

Мде. ИМХО, таскать немелкую дурынду весом 2 кг *везде* - как-то не прикольно ни разу.

> Зато это настоящий, в полном смысле этого слова, персональный компьютер. :)

А придумайте что n8x0 не сможет чего сможет он в таком контексте? Единственное разумное что я вижу - эзернет проводной. И то кому сильно надо даже проводной эзернет через usb-ethernet сетевки цепляли AFAIK, впрочем я просто сделал так что могу попасть по wi-fi или gprs куда мне надо и лично мне проводной эзернет не требуется :P


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 21-Ноя-09 10:06 
>>Да, это не Linux, это OpenBSD. :)
>
>На ноуте :).А кстати там управление питанием то нормальное? А то и
>с линухами то грабли бывают (да и не только с ними).
>А как с этим дела у OpenBSD?

Управление питанием работает, в том числе всякие SpeedStep'ы. Единственный заметный минус — sleep mode в ACPI не пашет, только в APM (правда, при четырёх часах работы от батарей и быстром старте самой ОС даже с GENERIC-ядром — это не такая уж и проблема). Как пишут разработчики, проблема не заснуть, проблема проснуться. :) Часть компов уже умеет просыпаться, но не более. А так — не жалуюсь, всё что можно было контролировать в винде, работает и здесь.

>> Мой весит два кило
>
>Мде. ИМХО, таскать немелкую дурынду весом 2 кг *везде* - как-то не
>прикольно ни разу.

Я всё равно по жизни с сумкой хожу, про которую всегда спрашивают: «ты там что, кирпичи таскаешь?», — это просто стиль жизни, кому как удобнее. :)

>> Зато это настоящий, в полном смысле этого слова, персональный компьютер. :)
>
>А придумайте что n8x0 не сможет чего сможет он в таком контексте?

Сел в метро, подключил мобильник, открыл экран — сижу, ковыряюсь в коде, пока в фоне ползёт почта и подключается Kopete (ОСь настроена автоматически подключаться к Сети при подключении мобильника или BlueTooth-модуля). По желанию — музыка, благо наличие жёсткого диска позволяет хранить далеко не один гигабайт. Трекпойнт вполне позволяет обходиться без мышки в иксах, с ним только в трёхмерные игры особо не поиграешь, да только когда последний раз до них руки доходили… В общем, это настолько же удобнее n800, насколько n800 удобнее обычного мобильника. ;)

>Единственное разумное что я вижу - эзернет проводной. И то кому
>сильно надо даже проводной эзернет через usb-ethernet сетевки цепляли AFAIK, впрочем
>я просто сделал так что могу попасть по wi-fi или gprs
>куда мне надо и лично мне проводной эзернет не требуется :P

У меня есть тенденция перегонять иногда по проводам музыку, клипы с YouTube и фильмы — проводной гигабит как-то с этим лучше справляется. ;)

Если б я был в вашей ситуации — наверняка бы думал именно о коммуникаторе. Если бы вы были в моей — наверняка юзали бы ноут. ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 23-Ноя-09 19:35 
>>>Да, это не Linux, это OpenBSD. :)
>>
>>На ноуте :).А кстати там управление питанием то нормальное? А то и
>>с линухами то грабли бывают (да и не только с ними).
>>А как с этим дела у OpenBSD?
>
>Управление питанием работает, в том числе всякие SpeedStep'ы. Единственный заметный минус —
>sleep mode в ACPI не пашет, только в APM

Не прошло и недели, как начавшийся h2k9 изменил и это. :)

CVSROOT:        /cvs
Module name:    src
Changes by:     pirofti@cvs.openbsd.org 2009/11/23 09:21:54

Modified files:
        sys/arch/amd64/amd64: acpi_machdep.c machdep.c
        sys/arch/i386/i386: acpi_machdep.c machdep.c
        sys/dev/acpi   : acpi.c acpibtn.c acpivar.h

Log message:
Remove ACPI_SLEEP_ENABLED checks.

This enables by default the suspend/resume paths in the kernel.

Okay deraadt@.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено szh , 17-Ноя-09 22:19 
> Вы шифрование $HOME не делали?

для $HOME/$USER лучше ecryptfs использовать как это в ubuntu 9.10 сделано


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 21-Ноя-09 08:48 
>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>ключики лежат и прочие приятности. ;)

Таскать *везде* с собой ноутбяк мне как-то не прикольно, он как бы весит и места занимает... n800 то на поясе или в кармане болтается, как и телефон. С ноутом так не катит.А ключики можно на n800 положить.Вот только у пароля есть 1 плюс: он прокатывает на любом компьютере без предварительных условий.Т.е. меньше рисков при случае приложиться мордой об стол (с другой стороны - появляется риск попадания на сниффер клавы, так что тут аккуратность не помешает).


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 21-Ноя-09 10:13 
>>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>>ключики лежат и прочие приятности. ;)
>
>Таскать *везде* с собой ноутбяк мне как-то не прикольно, он как бы
>весит и места занимает... n800 то на поясе или в кармане
>болтается, как и телефон. С ноутом так не катит.А ключики можно
>на n800 положить.

Дело вкуса.

>Вот только у пароля есть 1 плюс: он прокатывает
>на любом компьютере без предварительных условий.Т.е. меньше рисков при случае приложиться
>мордой об стол (с другой стороны - появляется риск попадания на
>сниффер клавы, так что тут аккуратность не помешает).

А я доступ по паролю редко и запрещаю (ну, кроме рута, конечно). Просто удобнее ключи один раз за сеанс расшифровать и юзать без дополнительного пароля, чем каждый раз пароль вводить (особенно в том же транспорте не хочется свой пароль светить лишний раз — я набираю, конечно, достаточно быстро, но если по нескольку раз, то…)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 17:34 
>Такой же бесполезный костыль, как и ssh на нестандартном порте.

Это как раз идеальное решние. Попросил бы вас описать не костыль, но вы, боюсь не осилите.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 17:44 
>>Такой же бесполезный костыль, как и ssh на нестандартном порте.
>
>Это как раз идеальное решние. Попросил бы вас описать не костыль, но
>вы, боюсь не осилите.

Это НЕ идеальное (точнее, не универсальное) решение: есть ситуации, когда нет возможности или затруднительно делать port knocking.

Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная система (или пароли вообще не используются), то ботнет может максимум притормозить работу сети и/или sshd — да и это произойдёт в результате целенаправленной атаки, что уже совсем другой разговор. Замусоривание логов — миф, с логами надо уметь работать — иначе любой залётный хакер будет заставлять впадать в ступор. Иными словами, если быть нормальным админом, то подобные извращения попросту становятся не нужны.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavel_simple , 18-Ноя-09 01:04 
>Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная
>система ...

не соглашусь с вами , по той простой причине что окромя того, что перебор, никто пока не гарантирует, что в ssh не найдут такую-жу дыришу как недавно в реализации ssl от openssl/gnutls

P.S. дополнительный portknock позволит не делать "резких движений" по обновлению ПО, особенно такого критичного как ssh.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 18-Ноя-09 01:15 
>>Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная
>>система ...
>
>не соглашусь с вами , по той простой причине что окромя того,
>что перебор, никто пока не гарантирует, что в ssh не найдут
>такую-жу дыришу как недавно в реализации ssl от openssl/gnutls
>
>P.S. дополнительный portknock позволит не делать "резких движений" по обновлению ПО, особенно
>такого критичного как ssh.

Так в том-то и дело, что в новости речь идёт о том, что «ах, ботнет, какстрашножыть». Ну, пробует народ комбинации «ftp:ftp» и «test:test», ну и пусть пробует. Если найдут страшную дыру в той или иной распространённой реализации SSH (или самом протоколе), то это ничего не изменит в случае целенаправленной атаки, в ходе которой используется и сканирование портов в том числе.

Port knocking помогает бороться не столько против перебора тупых паролей ботнетами, сколько против сканирования портов — это, всё же, разные угрозы. И повторю: да, эта технология достаточно эффективна, просто иногда неприемлема. :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavel_simple , 18-Ноя-09 01:32 
специально вывесив год назад машинку в тырнет могу сказать, что ботнет этот (точнее сам скрипт) совершенствуется

сначала был тупой скрипт, который имел при себе список пользователей + список самых часто встречающихся паролей, долбил исключительно на 22

второй скрипт, помимо того, что имел связь с обновлениями списков (причем через dns), долбил 222,2222 и ещё пару вариантов, а так-же сравнивал свою базу пользователей с /etc/passwd, и в случае чего отправлял новые имена по http на всякие бесплатные хостинги

последний отловленный дополнительно ищет утилиты nmap, arp/arping, и в случае нахождения arp записей в первую очередь сканирует ip машинок в едином для зараженной  машины ethernet "домене".

так чтаа.... все эти перевесил на другой порт... это полная фигня


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Derevo_2 , 16-Ноя-09 16:40 
>Зафиксирована новая ботнет-сеть, распространяющаяся через SSH

А почему так долго фиксировали? Я давно заметил.
Смысл переставлять sshd на другой порт?
Пусть подбирают. Удачи в безнадёжном деле...

Единственное, что напрягает ---- разбухание лог-файлов.
Поэтому 22-й порт зафаерволлил пока не пройдёт эпидемия...


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено troy , 16-Ноя-09 16:46 
Пора давно вводить политику запрета возможности создания простых паролей (по умолчанию). Как в виндовых серверах. Хочешь пароль 111, лезь во внутрь и отдельно снимай ограничения.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено angel_il , 16-Ноя-09 16:49 
...
Nov 15 23:03:56 dropbear[6638]: Child connection from 93.92.47.25:54716
Nov 15 23:03:58 dropbear[6638]: login attempt for nonexistent user from 93.92.47.25:54716
Nov 15 23:03:58 dropbear[6638]: exit before auth: Disconnect received
Nov 15 23:03:58 dropbear[6639]: Child connection from 93.92.47.25:54965
Nov 15 23:04:00 dropbear[6639]: login attempt for nonexistent user from 93.92.47.25:54965
Nov 15 23:04:00 dropbear[6639]: exit before auth: Disconnect received
Nov 15 23:04:01 dropbear[6640]: Child connection from 93.92.47.25:55202
Nov 15 23:04:02 dropbear[6640]: login attempt for nonexistent user from 93.92.47.25:55202
Nov 15 23:04:03 dropbear[6640]: exit before auth: Disconnect received
Nov 15 23:50:38 dropbear[6641]: Child connection from 202.107.233.156:55877
Nov 15 23:50:42 dropbear[6641]: login attempt for nonexistent user from 202.107.233.156:55877
Nov 15 23:50:43 dropbear[6641]: exit before auth: Disconnect received
Nov 15 23:50:44 dropbear[6642]: Child connection from 202.107.233.156:56349
Nov 15 23:50:47 dropbear[6642]: login attempt for nonexistent user from 202.107.233.156:56349
Nov 15 23:50:48 dropbear[6642]: exit before auth: Disconnect received
Nov 15 23:50:52 dropbear[6643]: Child connection from 202.107.233.156:56769
Nov 15 23:50:54 dropbear[6643]: login attempt for nonexistent user from 202.107.233.156:56769
Nov 15 23:50:55 dropbear[6643]: exit before auth: Disconnect received
Nov 15 23:50:59 dropbear[6644]: Child connection from 202.107.233.156:57517
Nov 15 23:51:02 dropbear[6644]: login attempt for nonexistent user from 202.107.233.156:57517
Nov 15 23:51:03 dropbear[6644]: exit before auth: Disconnect received
Nov 15 23:51:04 dropbear[6645]: Child connection from 202.107.233.156:55148
Nov 15 23:51:10 dropbear[6645]: login attempt for nonexistent user from 202.107.233.156:55148
Nov 15 23:51:11 dropbear[6645]: exit before auth: Disconnect received
Nov 15 23:51:11 dropbear[6646]: Child connection from 202.107.233.156:55861
Nov 15 23:51:14 dropbear[6646]: login attempt for nonexistent user from 202.107.233.156:55861
Nov 15 23:51:15 dropbear[6646]: exit before auth: Disconnect received
Nov 15 23:51:15 dropbear[6647]: Child connection from 202.107.233.156:56347
Nov 15 23:51:19 dropbear[6647]: login attempt for nonexistent user from 202.107.233.156:56347
Nov 15 23:51:20 dropbear[6647]: exit before auth: Disconnect received
Nov 15 23:51:21 dropbear[6648]: Child connection from 202.107.233.156:56795
Nov 15 23:51:25 dropbear[6648]: login attempt for nonexistent user from 202.107.233.156:56795
Nov 15 23:51:26 dropbear[6648]: exit before auth: error reading: Connection reset by peer
Nov 15 23:51:26 dropbear[6649]: Child connection from 202.107.233.156:57351
Nov 15 23:51:31 dropbear[6649]: login attempt for nonexistent user from 202.107.233.156:57351
Nov 15 23:51:32 dropbear[6649]: exit before auth: Disconnect received
Nov 15 23:51:36 dropbear[6650]: Child connection from 202.107.233.156:57796

надо наверное сегодня покумекать будет...


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено mkmv , 16-Ноя-09 17:13 
пароли в мозге хранить надо.

makepasswd --minchars 10 --maxchars 10
vQU81uPUSD

Отличный пароль. И запоминается нормально.



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено angel_il , 16-Ноя-09 17:17 
ну да, только пользователя root у меня нет, так что перебирать долго будут, а вот то что логи загаживают это плохо...

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 21:29 
>будут, а вот то что логи загаживают это плохо...

Правило айпитаблесу (или кому там у вас скормите) и сильно загаживающие логи - пойдут лесом. Можно просто отстреливать тех кто чрезмерно долбится, можно более кардинально - порткнокинг нарулить, тогда отстрелятся все кто не в курсе как правильно постучаться.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено angel_il , 17-Ноя-09 00:00 
>>будут, а вот то что логи загаживают это плохо...
>
>Правило айпитаблесу (или кому там у вас скормите) и сильно загаживающие логи
>- пойдут лесом. Можно просто отстреливать тех кто чрезмерно долбится, можно
>более кардинально - порткнокинг нарулить, тогда отстрелятся все кто не в
>курсе как правильно постучаться.

Да не то чтобы это сложно на wl500 сделать, просто лениво... пароль не подберут, имя пользователя не угадают, если только дыру в дропбире какую заюзают.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 17-Ноя-09 11:51 
Фигасе, это 500gp так осаждают? Во оригиналы :). Интересно, что бы они делали если брут удался? :). И там проц не грузится? А то я на обычном серванте засек как-то довольно заметную нагрузку а при разборках что же кушает проц - заметил что орава дятлов насела на sshd и брутит так что только флуд в логах стоит :).

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено angel_il , 17-Ноя-09 14:36 
ну дропбир он какбы полегче sshd будет... я не замечал особых напрягов с точкой, в момент когда они ломились, если честно.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 24-Ноя-09 16:41 
>с точкой, в момент когда они ломились, если честно.

Я заметил 10% нагрузки на хост без причин. Ну, поинтересовался откуда оно - оказывется хаксоры толпой ssh брутят, в логи срут знатно. Поотстрливал на файрволе - жрач проца прекратился :). А дропбир - да, поменьше и полегче, но криптография все-равно на каждого лабуха раскочегаривается.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 16-Ноя-09 17:53 
да и матрицу 10*100 (символов в пароле * кол-во машинок) ни какого труда запомнить не составит, выучить можно на вечер %)

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 22:08 
>да и матрицу 10*100 (символов в пароле * кол-во машинок) ни какого
>труда запомнить не составит, выучить можно на вечер %)

Ну тогда можно и ключик вызубрить а потом в хексэдиторе его наколотить :)))


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Vaso Petrovich , 16-Ноя-09 18:46 
>пароли в мозге хранить надо.

это только тем, у кого он есть...


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Pilat , 16-Ноя-09 23:03 
>пароли в мозге хранить надо.
>
>makepasswd --minchars 10 --maxchars 10
>vQU81uPUSD
>
>Отличный пароль. И запоминается нормально.

И сколько десятков таких паролей сэр хранит в своём мозге?


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 23:23 
>>пароли в мозге хранить надо.
>>
>>makepasswd --minchars 10 --maxchars 10
>>vQU81uPUSD
>>
>>Отличный пароль. И запоминается нормально.
>
>И сколько десятков таких паролей сэр хранит в своём мозге?

Тс-с-с! Не пали, это же Онотоле!


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено mkmv , 30-Ноя-09 10:37 
>>>пароли в мозге хранить надо.
>>>
>>>makepasswd --minchars 10 --maxchars 10
>>>vQU81uPUSD
>>>
>>>Отличный пароль. И запоминается нормально.
>>
>>И сколько десятков таких паролей сэр хранит в своём мозге?
>
>Тс-с-с! Не пали, это же Онотоле!

ну 17 храню. Пока


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Frank , 16-Ноя-09 17:56 
а что, никто не юзает fail2ban?

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено angel_il , 16-Ноя-09 18:01 
>Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP

написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено voodix , 16-Ноя-09 21:12 
>написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.

1. Через iptables баню на день IP-шник после 50 попыток. (скриптом автоматом в кроне) 2 года уже и нечему даже распухать.


2. Root закрыл вход по ssh


3.Пароль такой, что, - как говорил турецкий паша: раньше Дунай поднимется в небеса, и небо упадет на землю, прежде чем крепость Измаил падет. (Правда Суворов таки взял тогда крепость)
Вот сменить порт - это тема...  


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 21:28 
>>написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.
>
>1. Через iptables баню на день IP-шник после 50 попыток. (скриптом автоматом
>в кроне) 2 года уже и нечему даже распухать.

Я баню за 5-10 попыток в течение минуты на несколько часов. Эффект 100%. :)

>2. Root закрыл вход по ssh

Это вообще обязательная мера (точнее, запрет входа по паролю).

>3.Пароль такой, что, - как говорил турецкий паша: раньше Дунай поднимется в
>небеса, и небо упадет на землю, прежде чем крепость Измаил падет.
>(Правда Суворов таки взял тогда крепость)

Главное, не забывать его менять хотя б раз в год…

>Вот сменить порт - это тема...

… бесполезная. ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено voodix , 16-Ноя-09 21:17 
PS Имя пользователя хоть и простое, но не разу не попадалось в логах...  вот такой зигзаг удачи.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 04:33 
>PS Имя пользователя хоть и простое, но не разу не попадалось в
>логах...  вот такой зигзаг удачи.

кстати о именах: на днях просматривая логи нашел имя: natasha :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 20:30 
> а что, никто не юзает fail2ban?

Смысл? Один хост делает всего 1 или несколько медленных банов. Так можно самому бан отхватить :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Дмитрий Ю. Карпов , 16-Ноя-09 18:33 
Почему никто не догадался сделать обманку? Обманка пустит взломщика в виртуальный шелл под любым паролем и будет крутить ему мозги, пока ему не надоест.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 18:37 
>Почему никто не догадался сделать обманку? Обманка пустит взломщика в виртуальный шелл
>под любым паролем и будет крутить ему мозги, пока ему не
>надоест.

Почему не догадался? honeypot'ам не первый десяток лет.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено srgaz , 16-Ноя-09 18:46 
Вход по ключу, + проль)

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено i , 16-Ноя-09 20:00 
+1
давно так сделал, теперь класть я хотел на эти переборы

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 20:34 
>Вход по ключу, + проль)

У ключа есть один минус. Он же впрочем и плюс. В голову не влезает, знаете ли. Поэтому иногда, если заранее ключ с собой не утянул - можно и всосать. С другой стороны, то же самое можно сказать и про желающих получить доступ к вашему ресурсу :).


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено i , 16-Ноя-09 20:46 
так это.. ношу на мелкой флешке, как брилок вместе с ключами (железными от квартиры :)

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 21:38 
>так это.. ношу на мелкой флешке,

Я n800 юзаю, в том числе иногда и для ssh - не очень представляю себе как удобно юзать при этом флешки. Флешку и кабель везде с собой таскать? Вот *вы* и таскайте. И у меня большие сомнения что кто-то ломанет 12..15-символьные пароли которых явно нет в словарях за разумный срок. Удачи чувакам в их сломе, ага. Если они подберут их к моменту погасания солнца - мне уже будет все-равно, поверьте :P. Я знаю только один метод слома таких паролей - фишинг (да, вконтакт опять поимели и там и сложные пароли были). Но с ssh он имеет свойство не работать из-за проверки аутентичности хоста и наличия мозга у того кто за терминалом...


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Sw00p aka Jerom , 16-Ноя-09 20:31 
развели не флуд, а чёрт знает что

ссх накая вещь что доступ к ней надо граничиват по полной программе
и тогда не будут мощолить глаза записи в месседж логах

менять порт это первое что придёт на ум (конечно же если человек не уверен что его пасс стойкий)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 16-Ноя-09 20:46 
>развели не флуд, а чёрт знает что
>
>ссх накая вещь что доступ к ней надо граничиват по полной программе

Если вы не можете доверять своему shell-серверу, то, боюсь, бояться надо не вежливых ботнетов…

>и тогда не будут мощолить глаза записи в месседж логах

Которые, вообще-то можно анализировать хотя бы даже grep'ом. У меня не возникает проблемы каждый день проглядывать (посмеиваясь) логи пяти серверов с доступом по SSH извне. Будет серверов больше — поставлю какую-нибудь утилиту для анализа, или сам наваяю.

>менять порт это первое что придёт на ум (конечно же если человек
>не уверен что его пасс стойкий)

Если он в этом не уверен, то ему надо заниматься чем угодно, только не ИТ-безопасностью.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 16-Ноя-09 21:41 
>ссх накая вещь что доступ к ней надо граничиват по полной программе

Конечно, ведь приятнее всего когда сервак лежит и вы не можете ничего поделать как раз из-за граблей которые сами же себе и разложили :-).


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Sw00p aka Jerom , 17-Ноя-09 10:40 
да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))

сервер пашет админ спит


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 12:00 
>да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))
>
>
>сервер пашет админ спит

Читайте, на что именно вам отвечают. И с каких этот пор переезд сам по себе стал ограничительной мерой?


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено User294 , 17-Ноя-09 12:07 
>да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))

Он может лежать по другим причинам. И если ssh на выход админы все-таки обычно на фаерах не режут (т.к. пользуются :D) то вот нестандартные порты могут быть и прибиты (чтобы вируссы и прочая хрень типа троянов и всяких бэкдоров - всосали). Посему из какойнить энтерпрайзности на нестандартный порт - может и не получиться.

>сервер пашет админ спит

Хорошо если так. Но насчет ограничений - видел несколько прикольных epic fail-ов когда админы разрешали только trusted подсети, а потом ... потом сервак падал, админ в чистом поле с жпрсрм и - попу рвет, потому что жпрс ни разу не является доверяемой подсетью, разумеется. В лучшем случае админ окольными путями протискивался в свою подсеть. В хучшем сервак был в дауне на достаточно длительный срок.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено voodix , 17-Ноя-09 01:40 
Докладываю: сменил порт ssh. За Время наблюдения, - 4 часа,- ни одна сфолочь не попыталась обратиться к ssh по указаному порту.
  Продолжаю наблюдение.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 01:43 
>Докладываю: сменил порт ssh. За Время наблюдения, - 4 часа,- ни одна
>сфолочь не попыталась обратиться к ssh по указаному порту.
>  Продолжаю наблюдение.

Скажи IP ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено voodix , 17-Ноя-09 02:26 
>Скажи IP ;)

  А зачем? ;)
Имени не знаешь - оно не соответствует нику, а пароль 15 значный с набором непечатно-матершинных символов. В nmap по скудному списку портов сразу поймешь на каком порту висит ssh - и что? Главно то, что всяка зараза не предполагает что 22 порт - не ssh. Он кстати вполне себе открыт.
И еще: на IP зарегистрирована реальная организация - открывать личную историю - не по Кастанеде.  



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 02:33 
>>Скажи IP ;)
>
>  А зачем? ;)

Чтобы сволочь появилась. ;) Не надо ко всему так серьёзно относиться. ;)

> Имени не знаешь - оно не соответствует нику, а пароль 15
>значный с набором непечатно-матершинных символов. В nmap по скудному списку портов
>сразу поймешь на каком порту висит ssh - и что? Главно
>то, что всяка зараза не предполагает что 22 порт - не
>ssh. Он кстати вполне себе открыт.
> И еще: на IP зарегистрирована реальная организация - открывать личную историю
>- не по Кастанеде.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено voodix , 17-Ноя-09 02:42 
>Не надо ко всему так серьёзно относиться. ;)

  Согласен. Буду работать над собой... =) в хорошем смысле...


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Z581840 , 17-Ноя-09 04:58 
Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По VPN коннектимся к серверу, а дальше чо хошь то и делаешь в локальной сети. В логах никаких переборов, и полная свобода действий. :)

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено zazik , 17-Ноя-09 11:44 
>Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По
>VPN коннектимся к серверу, а дальше чо хошь то и делаешь
>в локальной сети. В логах никаких переборов, и полная свобода действий.
>:)

Тоже хороший вариант, пока не понадобится коннектиться из Зимбабве с мобилы.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено voodix , 17-Ноя-09 12:51 
>Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По
>VPN коннектимся к серверу

Какая разница, к какой службе будут перебирать пароли. Что, VPN более защищен чем ssh?


PS. После смены порта ssh в логах полная тишина - никто больше не суется.



"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено upyx , 17-Ноя-09 12:20 
Не так важно как, важно, чтобы не как у всех. И чтобы никто не знал :)

Блин... хочу себе бот-нетик... Чтобы он чего-нить делал, данные скидывал, графики по ним рисовались... Или лучше рыбок завести? :)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено PereresusNeVlezaetBuggy , 17-Ноя-09 14:31 
>Не так важно как, важно, чтобы не как у всех. И чтобы
>никто не знал :)
>
>Блин... хочу себе бот-нетик... Чтобы он чего-нить делал, данные скидывал, графики по
>ним рисовались... Или лучше рыбок завести? :)

Сделай ботнет для Android'ов, скоро будет актуально. ;)


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Leshiy.BY , 17-Ноя-09 13:38 
надо чтоб порт ssh был функцией от времени :) с маленьким шагом

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavel_simple , 17-Ноя-09 13:45 
простейший portknock'ер работающий по icmp
-A INPUT -p icmp --icmp-type 8 -m length --length 153 -m recent --name pk --rsource --set -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 154 -m recent --name pk --rsource --update --hitcount 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 155 -m recent --name pk --rsource --update --hitcount 2 -j ACCEPT
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP

для того чтобы открыть 22 порт достаточно и необходимо
ping -s 125 -c 1 адрес
ping -s 126 -c 1 адрес
ping -s 127 -c 1 адрес

количество пакетов регулируется через --hitcount
сами числа передаются через длину icmp-echo

хорош тем что инструмен "стучания" обычно доступен


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 17-Ноя-09 17:40 
Да, пока какой-нибудь роутер не добавить хитровы*банную IP опцию в заголовок.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavel_simple , 17-Ноя-09 17:51 
>Да, пока какой-нибудь роутер не добавить хитровы*банную IP опцию в заголовок.

какую?
man iptables


   length
       This module matches the length of the layer-3 payload (e.g. layer-4 packet) f a packet against a specific value or range of values.

       [!] --length length[:length]


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Ро , 17-Ноя-09 21:09 
за изобретение 5 :)

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavel_simple , 18-Ноя-09 02:02 
>[оверквотинг удален]
>
>для того чтобы открыть 22 порт достаточно и необходимо
>ping -s 125 -c 1 адрес
>ping -s 126 -c 1 адрес
>ping -s 127 -c 1 адрес
>
>количество пакетов регулируется через --hitcount
>сами числа передаются через длину icmp-echo
>
>хорош тем что инструмен "стучания" обычно доступен

P.S.
поправка строка -A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck -j ACCEPT
должна выглядеть как
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck --hitcount 3 -j ACCEPT

иначе доступ будет открыт при "попадании" первого пакета


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аноним , 18-Ноя-09 00:23 
На слабом канале 30кбит, Nmap выудил  нестанданртый порт ssh за scanned in 27.15 seconds. Получается  что использование нестандартного порта защиты не дает никакой, но от придурков ограждает.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено аноним , 18-Ноя-09 19:23 
Еще раз - попытка коннекта к 2-3 закрытым портам с одного хоста = бан.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Pasha , 18-Ноя-09 10:41 
Злой хакер хочет поиметь SSH? Не вопрос. Дайте ему эту возможность.Ставим honeypot и экономим время как хакера, так и свое. Хакер возится в "песочнице", получает удовольствие. СБ принимает меры, вычисляя причину столь пристального внимания к информационному ресурсу. Техническая сторона вопроса - развести фейковые аккаунты для хонейпота и реальные аккаунты пользователей по разным "песочницам" с одного порта. В случае, если атака идет по "живому" аккаунту - аккаунт переводится в разряд фейковых, пользователю меняют аккаунт на другой, с имени любимой кошечки пользователя "Kitty" на имя любимой собачки сисадмина "UsR711290-09". Пользователь перетерпит. А СБ пускай займется выяснением причин утечки логина пользователя.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Pasha , 18-Ноя-09 10:46 
>Злой хакер хочет поиметь SSH? Не вопрос. Дайте ему эту возможность.Ставим honeypot
>и экономим время как хакера, так и свое. Хакер возится в
>"песочнице", получает удовольствие. СБ принимает меры, вычисляя причину столь пристального внимания
>к информационному ресурсу. Техническая сторона вопроса - развести фейковые аккаунты для
>хонейпота и реальные аккаунты пользователей по разным "песочницам" с одного порта.
>В случае, если атака идет по "живому" аккаунту - аккаунт переводится
>в разряд фейковых, пользователю меняют аккаунт на другой, с имени любимой
>кошечки пользователя "Kitty" на имя любимой собачки сисадмина "UsR711290-09". Пользователь перетерпит.
>А СБ пускай займется выяснением причин утечки логина пользователя.

P.S. Обеспечение безопасности информации - задача не только техническая. Порой проще слить хакеру дезу, чем героически сопротивлятся попыткам взлома исключительно техническими средствами.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено pavel_simple , 18-Ноя-09 12:34 
ребяты -- это ботнет -- тут никто особо информацией на дисках не интересуется

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено demo , 19-Ноя-09 14:52 
Это, правда, не ssh.
это vsftpd:

authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrator rhost=93.174.142.225 : 1959 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=61.152.239.49 : 33 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratur rhost=60.217.229.228 : 6871 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratore rhost=60.217.229.228 : 1564 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administratori rhost=60.217.229.228 : 1319 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrateur rhost=60.217.229.228 : 6871 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrator rhost=60.217.229.228 : 6869 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratore rhost=60.217.229.228 : 5307 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=200.156.25.75 : 1180 Time(s)

но настойчивость поразительная...


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Аонон , 19-Ноя-09 17:25 
Что ж тут поразительного? Бот каши не просит.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Edward , 19-Ноя-09 22:12 
А по-моему, это всё идиотизм. Развели демагогию. Из присутствующих кто-то пострадал? То-то... СПИДа нет и не будет. Баста.

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Вячеслав , 24-Ноя-09 11:11 
Ботнет сеть - ломает идиотов. Хоть сколько нибудь понимающий в математике и компьютерах представитель хомосапиенс понимает что перебором паролей КОМП_ПОД_АДМИНОМ (а не чайником) взломать удастся через ООчень много лет.

Перенос порта - игрушка чтобы в логи не гадило и только. Криптостойкость увеличивается минуты на полторы.

iptables и/или хостэллоу помоему от брутфорса почти панацея.


"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Отправлено Вячеслав , 24-Ноя-09 11:13 
Ломают не пароли. Повод задуматься.