Zbyněk Burget napsal/wrote, On 12/10/08 10:31:
V posledni dobe se ale deje horsi vec, kdy nejaky stroj vyrobi jeden
pokus (na vsechny servery) a pak da treba pul dne pokoj. A pak zase
jeden pokus. Problem je, ze tech stroju jsou kvanta a pokusy o
prihlaseni se objevuji v prumeru jednou za 4 min.
Jo, tomu se rika distribuovany utok. To se, skutecne, uz delsi dobu
deje. S tim nic nenadelas.
Dec 10 10:14:54 ftp sshd[50156]: error: PAM: authentication error for
illegal user lani from 58.39.145.213
Dec 10 10:14:54 mail sshd[50159]: error: PAM: authentication error for
illegal user lani from 81-208-90-63.ip.fastwebne.it
Takze - nevite nekdo, kterak donutit sshd resp. PAM (netusim, kdo z nich
ma obsah uvedeneho radku na svedomi), aby do logu vypisoval IP adresu a
ne domenove jmeno?
To pise PAM subsystem.
Co pouzivate na obranu pred temito utoky? Nemam strach, ze by se mi
nekdo do stroje nalamal, jen mne se**u ty nekonecne dlouhe logy.
Heslo, o kterem si myslim, ze ho nebude tak snadne uhadnout. No a pak
proste nedovoluju prihlaseni z IP, ktera nema platny PTR zaznam. Cimz,
mimochodem, nemam problem se zaznamy ve dvou formatech.
Jestli mi chcete rict, ze pak se na stroj nemuzu prihlasit kdyz
nefunguje DNS tak pravda, ano. Na tom mam nakonfigurovany INETD aby na
jinem portu spoustel jine SSH, ktere mohou pouzit jen uzivatele skupiny
WHEEL, bez kontroly na reverz. Resi to soucasne situaci, kdy standalone
sshd z jakehokoliv duvodu havaruje ...
Dlouhe LOGy me uz nestvou davno. A maillog je stejne daleko vetsi. Kdyz
v nich hledam neco konkretniho, GREP mi je zkrati.
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
