URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 47089
[ Назад ]

Исходное сообщение
"как реагировать на атаки?"
Отправлено Сергей , 11-Авг-04 17:16

Есть сервак под лихнулом с реальным айпишником (ssh открыт наружу). Сейчас обнаружил, что на него пытались логиниться с какого-то мне совершенно не известного инетовского адреса. Пробовали залогиниться под учентыми записями guest, admin, test и все в таком духе. У них ничего не получилось. Но что делать с этим инцидентом? Как правильно и грамотно на него реагировать?
Заранее большое спасибо за ответ!

Содержание

как реагировать на атаки?,crash, 17:26 , 11-Авг-04
- как реагировать на атаки?,pva, 17:35 , 11-Авг-04
  - как реагировать на атаки?,denn, 17:44 , 11-Авг-04
    - как реагировать на атаки?,Сергей, 17:47 , 11-Авг-04
  - как реагировать на атаки?,shaman, 17:45 , 11-Авг-04
    - как реагировать на атаки?,Сергей, 17:48 , 11-Авг-04
- как реагировать на атаки?,Сергей, 17:45 , 11-Авг-04
  - как реагировать на атаки?,denn, 17:52 , 11-Авг-04
    - как реагировать на атаки?,Сергей, 17:53 , 11-Авг-04
    - как реагировать на атаки?,Grey, 21:43 , 11-Авг-04
  - как реагировать на атаки?,shaman, 09:30 , 12-Авг-04
атакующие IP,Kirill, 09:27 , 12-Авг-04

Сообщения в этом обсуждении

"как реагировать на атаки?"
Отправлено crash , 11-Авг-04 17:26

>Есть сервак под лихнулом с реальным айпишником (ssh открыт наружу). Сейчас обнаружил,
>что на него пытались логиниться с какого-то мне совершенно не известного
>инетовского адреса. Пробовали залогиниться под учентыми записями guest, admin, test и
>все в таком духе. У них ничего не получилось. Но что
>делать с этим инцидентом? Как правильно и грамотно на него реагировать?
>
>
>Заранее большое спасибо за ответ!
разрешить ssh с определенных айпи

"как реагировать на атаки?"
Отправлено pva , 11-Авг-04 17:35

У меня тоже самое (т.е. пробуют под теми же юзерами залогиниться) + частенько начали пробовать root-ом влезть !
Может кто нить в курсе что происходит ? У меня на на нескольких серверах одинаковые попытки влезть по ssh ?
Вирус имитирующий юзера который логинится через ssh ?

"как реагировать на атаки?"
Отправлено denn , 11-Авг-04 17:44

>У меня тоже самое (т.е. пробуют под теми же юзерами залогиниться) +
>частенько начали пробовать root-ом влезть !
>
>Может кто нить в курсе что происходит ? У меня на на
>нескольких серверах одинаковые попытки влезть по ssh ?
>
>Вирус имитирующий юзера который логинится через ssh ?

прову детально отпишите.
есть четкий порядок регистрации попыток взлома.

"как реагировать на атаки?"
Отправлено Сергей , 11-Авг-04 17:47

>прову детально отпишите.
>есть четкий порядок регистрации попыток взлома.
Своему прову отписывать? И что прову отписывать?
Что за четкий порядок регистрации попыток взлома? Где про это можно почитать?

"как реагировать на атаки?"
Отправлено shaman , 11-Авг-04 17:45

>У меня тоже самое (т.е. пробуют под теми же юзерами залогиниться) +
>частенько начали пробовать root-ом влезть !
>
>Может кто нить в курсе что происходит ? У меня на на
>нескольких серверах одинаковые попытки влезть по ssh ?
>
>Вирус имитирующий юзера который логинится через ssh ?

Скорее всего обычный сканер безопасности.

"как реагировать на атаки?"
Отправлено Сергей , 11-Авг-04 17:48

>Скорее всего обычный сканер безопасности.
Скорее всего. Но не оставлять же это без внимания! Неужели просто закрывать на это глаза?

"как реагировать на атаки?"
Отправлено Сергей , 11-Авг-04 17:45

>разрешить ssh с определенных айпи
Не вараинат. Я со своим ноутом слишком много где бываю, и эти айпишники не поддаются упорядочиванию.
Так что же все таки делать? Кому жаловаться на это?

"как реагировать на атаки?"
Отправлено denn , 11-Авг-04 17:52

>>разрешить ssh с определенных айпи
>
>Не вараинат. Я со своим ноутом слишком много где бываю, и эти
>айпишники не поддаются упорядочиванию.
>
>Так что же все таки делать? Кому жаловаться на это?

типа "такой-то клиент.. уведомляю вас о том что участились попытки...."
и кусок лога с адресами временем...
а админы прова уже(или потом:)) ответят...

"как реагировать на атаки?"
Отправлено Сергей , 11-Авг-04 17:53

>типа "такой-то клиент.. уведомляю вас о том что участились попытки...."
>и кусок лога с адресами временем...
>
>а админы прова уже(или потом:)) ответят...
Ок. Спасибо. Попробую отправить такое мыло. Посмотрим, что скажут...

"как реагировать на атаки?"
Отправлено Grey , 11-Авг-04 21:43

>>>разрешить ssh с определенных айпи
>>
>>Не вараинат. Я со своим ноутом слишком много где бываю, и эти
>>айпишники не поддаются упорядочиванию.
>>
>>Так что же все таки делать? Кому жаловаться на это?
>
>
>типа "такой-то клиент.. уведомляю вас о том что участились попытки...."
>и кусок лога с адресами временем...
>
>а админы прова уже(или потом:)) ответят...

... и админы прова прикроют соответствующие порты ...
это устроит?
или есть иные способы? посылать такое письмо вверх "по комманде"? и каков примерно будет результат?

"как реагировать на атаки?"
Отправлено shaman , 12-Авг-04 09:30

Настроить IDS, например snort+snortsam или portsentry

"атакующие IP"
Отправлено Kirill , 12-Авг-04 09:27

Refused incoming connections:
      203.251.225.23 (203.251.225.23): 10 Time(s)
      202.8.254.4 (202.8.254.4): 89 Time(s)
      61.222.175.146 (61.222.175.146): 40 Time(s)
что характерно все IP не из постсоветского сегмента :)
IMHO их провайдеры не будут вообще ничего делать