The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от opennews on 16-Ноя-09, 13:05 
В заметке "Rickrolled? Get Ready for the Hail Mary Cloud! (http://bsdly.blogspot.com/2009/11/rickrolled-get-ready-for-h...)" рассказано о новой распределенной ботнет-сети, специализирующейся на проникновении путем подбора паролей через SSH. Классические методы блокирования "brute force" атак слабо помогают против новой сети, так как с одного IP адреса производится лишь несколько попыток проверки - в подборе участвуют несколько тысяч машин, каждая из которых перебирает относительно небольшой диапазон вариантов перебора.


Поставленный эксперимент показал, что к одной из тестовых машин была зафиксирована однородная активность по подбору типовых паролей с 1767 хостов, трафик с которых не носил аномальный характер, а был равномерно распределен во времени, не достигая порога реагирования со стороны систем по блокированию атак.

URL: http://bsdly.blogspot.com/2009/11/rickrolled-get-ready-for-h...
Новость: https://www.opennet.ru/opennews/art.shtml?num=24276

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Salvator email on 16-Ноя-09, 13:05 
Кто мешает вешать ssh на не стандартный порт? После смены порта попытки подбора пароля вообще прекратились
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от anonymous (??) on 16-Ноя-09, 13:14 
> Кто мешает вешать ssh на не стандартный порт? После смены порта попытки подбора пароля вообще прекратились

Ну, это решение имени страуса, IMO.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

73. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Alen (??) on 16-Ноя-09, 17:00 
и все же весьма эффективное, особенно в комплексе с другими.
видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже 2 года
никаких брутфорсов.
К недостаткам можно отнести только усложнение работы с sftp и тд, но все решается прочтением манов.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

76. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 17:11 
>и все же весьма эффективное, особенно в комплексе с другими.
>видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже
>2 года
>никаких брутфорсов.
>К недостаткам можно отнести только усложнение работы с sftp и тд, но
>все решается прочтением манов.

Не надо бояться попыток подбора пароля. При современных объёмах жёстких дисков экономить на логах — идиотизм. Бояться надо плохих паролей и других дыр безопасности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

124. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Hety (??) on 16-Ноя-09, 21:11 
Лучше читать логи, где нет сообщений о попытках подбора. Это здорово экономит время.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

127. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 21:15 
>Лучше читать логи, где нет сообщений о попытках подбора. Это здорово экономит
>время.

Если вам так надо — фильтруйте, и всё. Средств для этого тонны: от grep до супернавороченных IDS. Мне вот такие логи помогают быть в курсе современных тенденций по выбору паролей — всегда пригодится. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

74. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от Alen (??) on 16-Ноя-09, 17:01 
и все же весьма эффективное, особенно в комплексе с другими.
видел в логах попытки подбора однажды, после установки нестандартного порта, вот уже 2 года
никаких брутфорсов.
К недостаткам можно отнести только усложнение работы с sftp и тд, но все решается прочтением манов.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от ононим on 16-Ноя-09, 13:17 
я у себя в логах ни разу не обнаружил попыток "левого" логина. единственно, что сделал, так это отсеял все запросы на 22 порт, исходящие из сетей других провайдеров.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Димтнрий on 16-Ноя-09, 15:02 
я давно заметил (больше месяца назад)у себя подобное и сразу ограничил доступ по ssh (hosts.allow) только с тех адресов, с которых действительно это может быть нужно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

211. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от edo (ok) on 17-Ноя-09, 12:47 
Вы никогда не бываете в отпуске, в комнадировке, на природе, ...?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +2 +/
Сообщение от Tav on 16-Ноя-09, 14:08 
Это не защита, а костыль, который возможно будет помогать до тех пор, пока мало кто так делает. Порты перебрать не трудно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от anonymous (??) on 16-Ноя-09, 14:19 
Для перебрать все порты на машину надо будет еще стукнуться несколько десятков тысяч раз. А потом еще перебор паролей, что IDS'ом или просто правилом в iptables отловится намного лучше. Вполне нормальное решение, особенно при том, что минусов как бы и не имеет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Tav on 16-Ноя-09, 16:10 
Минусы имеет: нестандартная конфигурация. "Стукнуться несколько десятков тысяч раз" — не проблема для распределенной атаки. Если вы просто добавите к своему паролю один символ, вы более существенно увеличите защищенность своей системы, и без костылей.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от anonymous (??) on 16-Ноя-09, 16:24 
Нестандартная это понятно, но какие минусы это даст на практике? Если только к вам должны иметь доступ по ssh и те, кто без понятия на каком порту он у вас там висит, и кому вы особо не можете указать, куда стучаться, разве что так.

> не проблема для распределенной атаки.

Тем не менее, при ней далеко не все стучащиеся доживут до перебора паролей, что есть таки плюс.

> Если вы просто добавите к своему паролю один символ, вы более существенно увеличите защищенность своей системы, и без костылей.

Длина пароля само собой. Но перенос не общеупотребительного сервиса (не pop/smtp/www же) на нестандартный порт имхо не костыль, а вполне нормальная мера безопасности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

91. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Tav on 16-Ноя-09, 18:02 
Уже писал в другой ветке (#52):

Использование нестандартного порта увеличивает перебор _на_ 2^16 (немного больше 65000), добавление к паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом, если в пароле больше 2-х символов, выбор нестандартного порта не даст заметного улучшения безопасности.

И еще здесь уже было правильно сказано (#80):

Перенос порта — это чистой воды security by obscurity.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

94. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от anonymous (??) on 16-Ноя-09, 18:36 
>Перенос порта — это чистой воды security by obscurity.
> obscurity сущ. 1) а) неизвестность, безвестность; незаметность

В таком смысле — ну да. И поэтому оно неплохое добавление к сложному паролю. Сначала пусть найдут, а потом уже ломают, это не пересекающиеся методы защиты же )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

96. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 18:43 
>>Перенос порта — это чистой воды security by obscurity.
>> obscurity сущ. 1) а) неизвестность, безвестность; незаметность
>
>В таком смысле — ну да. И поэтому оно неплохое добавление к
>сложному паролю. Сначала пусть найдут, а потом уже ломают, это не
>пересекающиеся методы защиты же )

security by obscurity — это не защита, это её имитация. Найти при желании — пара пустяков. А атака с желанием сломать конкретно данную машину — вполне реальная и намного более сильная угроза (в том же направлении). Поэтому защищаться надо от неё (или от ещё более сильной угрозы, если такая имеет место быть). Это азы компьютерной безопасности, вообще-то. ;) Против ботов имеет смысл поставить только на фаерволе ограничение по количеству подключений в единицу времени, чтобы sshd не так сильно нагружался и меньше в логи гадил.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

107. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от qux (ok) on 16-Ноя-09, 19:29 
>security by obscurity — это не защита, это её имитация.

Незаметность не защита? Военные с их маскировочными раскрасками, стелс-технологиями и прочими мерами тут резко огорчились ;)

>Найти при желании — пара пустяков. А атака с желанием сломать конкретно данную
>машину — вполне реальная и намного более сильная угроза (в том
>же направлении). Поэтому защищаться надо от неё (или от ещё более
>сильной угрозы, если такая имеет место быть).

Согласен, хотя тема тут всё-таки начиналась только с ботов. Но тогда имеем то, что живому взломщику все равно для начала надо будет найти живой sshd, например. На стандартном порту он его нащупает влет с нулем усилий, на засунутом подальше — только имея ботнет, да еще и достаточно большой, чтобы жертва всех не перебанила. Имхо, уже достаточный аргумент для такой ничего не стоящей меры, как перенос порта.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

109. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 20:12 
>>security by obscurity — это не защита, это её имитация.
>
>Незаметность не защита? Военные с их маскировочными раскрасками, стелс-технологиями и прочими мерами
>тут резко огорчились ;)

Перенос порта — это НЕ маскировка. И obscurity в данном случае переводится НЕ как «маскировка», а скорее как «запутанность». Если брать военную аналогию (я так надеялся, что вы не совершите этой ошибки с маскировкой, но что поделать…), то перенос порта — это как если ракеты перевезти из квадрата «А» в квадрат «Б»: поможет только против совсем неосведомлённого противника. И не забывайте ещё, что узнать расположение ракетного склада сложнее, чем просканить порты…

>[оверквотинг удален]
>>машину — вполне реальная и намного более сильная угроза (в том
>>же направлении). Поэтому защищаться надо от неё (или от ещё более
>>сильной угрозы, если такая имеет место быть).
>
>Согласен, хотя тема тут всё-таки начиналась только с ботов. Но тогда имеем
>то, что живому взломщику все равно для начала надо будет найти
>живой sshd, например. На стандартном порту он его нащупает влет с
>нулем усилий, на засунутом подальше — только имея ботнет, да еще
>и достаточно большой, чтобы жертва всех не перебанила. Имхо, уже достаточный
>аргумент для такой ничего не стоящей меры, как перенос порта.

Заиметь ботнет — точнее, арендовать — совсем не сложно, было бы желание. Стоит копейки. Если совсем жаба душит (хотя такого противника обычно и бояться нечего) — найти XSS на достаточно посещаемом ресурсе и заставить его посетителей сканить порты через URL вида http://server.domain:1470/ . ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

135. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от qux (ok) on 16-Ноя-09, 21:32 
>это как если ракеты
>перевезти из квадрата «А» в квадрат «Б»: поможет только против совсем
>неосведомлённого противника.

Неосведомленность противника не сделает его удар легче. Есть некоторая заметная вероятность, что как-то поможет — ну и хорошо. Не буду утверждать, что спец в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей же. Поэтому имхо чем больше вероятностей взлома перемножать, тем лучше, тем меньшая цифра будет в конце. Конечно, если в данном случае лекарство не хуже болезни, но перенос порта имхо в среднем достаточно безболезнен.

>Заиметь ботнет — точнее, арендовать — совсем не сложно, было бы желание.
>Стоит копейки. Если совсем жаба душит (хотя такого противника обычно и
>бояться нечего) — найти XSS на достаточно посещаемом ресурсе и заставить
>его посетителей сканить порты через URL вида http://server.domain:1470/ . ;)

Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая непрофессиональная, но от этого не перестающая быть нежелательной.

>И не забывайте ещё, что узнать расположение ракетного склада
>сложнее, чем просканить порты…

С этими аналогиями можно далеко зайти, но незаметность и маскировка не всегда настолько глобальны же. Полевой камуфляж, по сравнению с цветом кожи, уже дает достаточно преимуществ, чтобы ним пользовались уже вон сколько, и пока отказываться не собирались.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

149. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 22:14 
>>это как если ракеты
>>перевезти из квадрата «А» в квадрат «Б»: поможет только против совсем
>>неосведомлённого противника.
>
>Неосведомленность противника не сделает его удар легче. Есть некоторая заметная вероятность, что
>как-то поможет — ну и хорошо.

Поможет. Но поможет и средство от более серьёзной атаки. Поэтому более слабое средство попросту бессмысленно — более того, затраты на его использование, связанные с кастомизацией, _больше_ затрат на грамотную защиту.

> Не буду утверждать, что спец
>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>же.

Обсуждаемую в новости проблему он закрывает.

> Поэтому имхо чем больше вероятностей взлома перемножать, тем лучше, тем
>меньшая цифра будет в конце. Конечно, если в данном случае лекарство
>не хуже болезни, но перенос порта имхо в среднем достаточно безболезнен.

И бесполезен. Только сами потом голову будете ломать, на какой же порт вы его повесили. И не просканить — ваша собственная защита ваш IP и заблокирует, останется только… создавать/арендовать ботнет?!

>>Заиметь ботнет — точнее, арендовать — совсем не сложно, было бы желание.
>>Стоит копейки. Если совсем жаба душит (хотя такого противника обычно и
>>бояться нечего) — найти XSS на достаточно посещаемом ресурсе и заставить
>>его посетителей сканить порты через URL вида http://server.domain:1470/ . ;)
>
>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>непрофессиональная, но от этого не перестающая быть нежелательной.

Она с тем же успехом отвалится и от других, более жёстких и эффективных, мер.

>>И не забывайте ещё, что узнать расположение ракетного склада
>>сложнее, чем просканить порты…
>
>С этими аналогиями можно далеко зайти, но незаметность и маскировка не всегда
>настолько глобальны же. Полевой камуфляж, по сравнению с цветом кожи, уже
>дает достаточно преимуществ, чтобы ним пользовались уже вон сколько, и пока
>отказываться не собирались.

Во-первых, повторюсь: перенос порта НЕ есть маскировка. Во-вторых, просканить порты ботнетом — легко и безопасно. Вычислять маскирующегося противника в поле намного сложнее и опаснее.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

155. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от qux (ok) on 16-Ноя-09, 22:54 
>более слабое средство попросту бессмысленно

Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых более сильным — согласен. Но имхо это не тот случай же.

>более того, затраты на его использование, связанные
>с кастомизацией, _больше_ затрат на грамотную защиту.

Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?

>> Не буду утверждать, что спец
>>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>>же.
>Обсуждаемую в новости проблему он закрывает.

Хорошо, но в реале все равно приходится защищаться от всего, что только можно придумать.

>И бесполезен. Только сами потом голову будете ломать, на какой же порт
>вы его повесили. И не просканить — ваша собственная защита ваш
>IP и заблокирует, останется только… создавать/арендовать ботнет?!

Я не говорил, что на всех машинах надо его еще и разным делать ) Оно конечно будет на какую-то долю процента эффективнее, но тут тоже согласен, шкурка вычинки не стоит.
А уж один новый порт можно и запомнить, особенно если выбирать его не совсем из /dev/urandom

>>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>>непрофессиональная, но от этого не перестающая быть нежелательной.
>Она с тем же успехом отвалится и от других, более жёстких и
>эффективных, мер.

Более жестких и эффективных, чем "нет у меня никакого ssh"? До "если найду" еще дойти надо, с некоторыми затратами времени и сил.

>Во-первых, повторюсь: перенос порта НЕ есть маскировка.

Я лично под этим термином понимаю что-то вроде "меня здесь нет". И тогда вполне маскировка, хоть и вполне преодолеваемая, конечно.

>Во-вторых, просканить порты ботнетом — легко и безопасно.

Ладно, тогда так: вы считаете, что любой взломщик, работающий без ботнета, представляет нулевую опасность на всем множестве вариантов атак существующих и тех, которые еще появятся?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

158. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 23:21 
>>более слабое средство попросту бессмысленно
>
>Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых
>более сильным — согласен. Но имхо это не тот случай же.

Именно тот.

>>более того, затраты на его использование, связанные
>>с кастомизацией, _больше_ затрат на грамотную защиту.
>
>Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?

А также дополнительная настройка и поддержка сервисов, работающих поверх SSH.

>>> Не буду утверждать, что спец
>>>в it-безопасности, но хороший пароль закрывает не весь спектр возможных уязвимостей
>>>же.
>>Обсуждаемую в новости проблему он закрывает.
>
>Хорошо, но в реале все равно приходится защищаться от всего, что только
>можно придумать.

Постулат безопасности: система считается достаточно защищённой, если противнику для её взлома требуется затратить больше средств, чем он получит бонусов в результате взлома.

>>И бесполезен. Только сами потом голову будете ломать, на какой же порт
>>вы его повесили. И не просканить — ваша собственная защита ваш
>>IP и заблокирует, останется только… создавать/арендовать ботнет?!
>
>Я не говорил, что на всех машинах надо его еще и разным
>делать ) Оно конечно будет на какую-то долю процента эффективнее, но
>тут тоже согласен, шкурка вычинки не стоит.
>А уж один новый порт можно и запомнить, особенно если выбирать его
>не совсем из /dev/urandom

Можно. Только порты типа 2022 и так уже нередко сканят. ;) Да и смысл перевешивать на легко угадываемый порт?!

>>>Тем не менее, какая-то часть желающих отвалится уже на этом. Пусть самая
>>>непрофессиональная, но от этого не перестающая быть нежелательной.
>>Она с тем же успехом отвалится и от других, более жёстких и
>>эффективных, мер.
>
>Более жестких и эффективных, чем "нет у меня никакого ssh"? До "если
>найду" еще дойти надо, с некоторыми затратами времени и сил.

Нормальной системе брутфорс попросту не страшен. А насчёт «дойти надо» — кому надо, тот и дойдёт. И тогда плакали все ваши, пардон, извращения.

>>Во-первых, повторюсь: перенос порта НЕ есть маскировка.
>
>Я лично под этим термином понимаю что-то вроде "меня здесь нет". И
>тогда вполне маскировка, хоть и вполне преодолеваемая, конечно.

Перенос порта — это переезд из одной квартиры в другую в том же доме. Вот port knocking — это да, маскировка. Со своими неудобностями, но всё же неплохой и порой оправданный метод.

>>Во-вторых, просканить порты ботнетом — легко и безопасно.
>
>Ладно, тогда так: вы считаете, что любой взломщик, работающий без ботнета, представляет
>нулевую опасность на всем множестве вариантов атак существующих и тех, которые
>еще появятся?

Нет, наоборот. Но взлом одиночкой будет вестись, если он не мазохист или не смог найти дыру в используемом SSH-сервере (а это уже, согласитесь, далеко не уровень kiddie-брутфорсера), через другие сервисы: WWW, FTP, SMTP… Хакер может попробовать типовые комбинации, типа test:test, но не более. SSH (точнее, самые популярные его реализации) достаточно надёжен, чтобы открывать его всему миру — если его надёжность не ослабляется кривой политикой безопасности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

210. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от qux (??) on 17-Ноя-09, 12:46 
>>Если всё множество перекрываемых более слабым средством атак входит в множество перекрываемых
>>более сильным — согласен. Но имхо это не тот случай же.
>Именно тот.
>SSH (точнее, самые популярные его реализации) достаточно надёжен, чтобы открывать его всему миру — если его надёжность не ослабляется кривой политикой безопасности.

Хотел спросить, хотите ли вы сказать, что тут все возможные (и в будущем) атаки на сервис ограничиваются прямым перебором пароля, но вы ниже ответили. Возможно, мне стоит умерить фантазию и паранойю, не спорю )

>>Затраты на кастомизацию — это запоминание+вписывание в конфиги нестандартного порта ssh?
>А также дополнительная настройка и поддержка сервисов, работающих поверх SSH.

Под вписыванием порта в конфиги и имел в виду настройку сервисов. Если только это, то невелики затраты, имхо.

>>Хорошо, но в реале все равно приходится защищаться от всего, что только
>>можно придумать.
>Постулат безопасности: система считается достаточно защищённой, если противнику для её взлома требуется
>затратить больше средств, чем он получит бонусов в результате взлома.

К этому постулату уже сложновато приводить взломы, не имеющие явной коммерческой ценности для автора. А если в его бонусы еще и входит удовольствие уже от процесса, то еще сложнее.
Хотя да, и по нему же можно говорить, что из
> насчёт «дойти надо» — кому надо, тот и дойдёт

какой-то процент атакующих будет отваливаться на каждой принятой мере безопасности, так как оно им не настолько надо.

>>А уж один новый порт можно и запомнить, особенно если выбирать его
>>не совсем из /dev/urandom
>Можно. Только порты типа 2022 и так уже нередко сканят. ;) Да
>и смысл перевешивать на легко угадываемый порт?!

22345, 12322, 22446, 46822, 22{любое запоминающееся трехзначное число},... Пусть угадывают )

>Перенос порта — это переезд из одной квартиры в другую в том
>же доме. Вот port knocking — это да, маскировка. Со своими
>неудобностями, но всё же неплохой и порой оправданный метод.

Аналогия имхо не совсем точна, в сторону большей благоприятности. В реале взломщик не будет же бегать по многоквартирному дому, ища того, кто ему надо, если по известному номеру квартиры его не оказалось.
Если позволить себе еще раз дернуть военные аналогии, перенос порта — малозаметность, port knocking — незаметность. Второе, конечно, эффективнее, но и минусы больше, соответственно область применения меньше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

245. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от DenSha (??) on 19-Ноя-09, 09:33 
>Перенос порта — это НЕ маскировка. И obscurity в данном случае переводится
>НЕ как «маскировка», а скорее как «запутанность». Если брать военную аналогию
>(я так надеялся, что вы не совершите этой ошибки с маскировкой,
>но что поделать…)

Другую аналогию: человек пытается вылезти за зону артобстрела, а ему вслед: "куда, дурачок? оставайся, будем прикрываться здесь!"...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

246. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 19-Ноя-09, 13:41 
>>Перенос порта — это НЕ маскировка. И obscurity в данном случае переводится
>>НЕ как «маскировка», а скорее как «запутанность». Если брать военную аналогию
>>(я так надеялся, что вы не совершите этой ошибки с маскировкой,
>>но что поделать…)
>
>Другую аналогию: человек пытается вылезти за зону артобстрела, а ему вслед: "куда,
>дурачок? оставайся, будем прикрываться здесь!"...

Некорректно. Чуть-чуть корректнее — человек перелезает из одного окопа в другой, где народу меньше. Но для артиллерии он по-прежнему досягаем, в этом плане ничего не изменилось.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

111. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 20:17 
>Согласен, хотя тема тут всё-таки начиналась только с ботов.

Вообще, ИМХО, обсуждаемая в новости тема выеденного яйца, если честно, не стоит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

163. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Anonyamous on 17-Ноя-09, 00:32 
>Уже писал в другой ветке (#52):
>
>Использование нестандартного порта увеличивает перебор _на_ 2^16 (немного больше 65000), добавление к
>паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом,
>если в пароле больше 2-х символов, выбор нестандартного порта не даст
>заметного улучшения безопасности.
>
>И еще здесь уже было правильно сказано (#80):
>
>Перенос порта — это чистой воды security by obscurity.

если к переносу порта использовать какие-то возможности фильтра, типа recent в netfilter,
то возможность подбора правильной комбинации порта+порта составит ~2^32 (>4000000000)
--dport $SSH -m recent --rcheck --name Any_nm -j ACCEPT
--dport $SSHENABLE-1 -m recent --name Any_nm --remove -j DROP
--dport $SSHENABLE -m recent --name Any_nm --set -j DROP
--dport $SSHENABLE+1 -m recent --name Any_nm --remove -j DROP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

164. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от anonymous (??) on 17-Ноя-09, 00:41 
Интересная идея про  -m recent . Можно подробнее ? С описанием как это работает. Спасибо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

173. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от anonanonovych on 17-Ноя-09, 03:58 
посмотри совет #18 в этой статье - http://rus-linux.net/nlib.php?name=/MyLDP/sec/openssh.html
да и man iptables рулит
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

171. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 03:28 
>паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом,
>если в пароле больше 2-х символов, выбор нестандартного порта не даст
>заметного улучшения безопасности.

вы в этом так уверены? а я то думал, что увеличение как-то так пойдет:
128^(N+1)-128^N
где N длинна текущего пароля и N+1 длинна пароля увеличенного на один символ.
т.е. если у меня пароль из 6-ти символов и я увеличиваю его на один символ, то к перебору добавляется вариантов:
128^7-128^6=558551906910208
но т.к. я не пользуюсь специфичными символами, таблица со 128 сокращается до: 62-х (26*2+10), в этом случае:
62^7-62^6=3464814370624

вот и решай что выгоднее, переносить ссх, или добавить один символ к паролю...

но опять же найди админа у которого пароль 6-7-ми символьнй, у меня, например, нет паролей меньше 10-и символов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

177. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от alexxisr on 17-Ноя-09, 06:33 
>>паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом,
>
>вы в этом так уверены? а я то думал, что увеличение как-то
>так пойдет:
>128^(N+1)-128^N
>где N длинна текущего пароля и N+1 длинна пароля увеличенного на один
>символ.

- это одно и то же.
или В 128 раз,
или НА 128^(N+1)-128^N штук

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

189. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 11:01 
>>вы в этом так уверены? а я то думал, что увеличение как-то
>>так пойдет:
>>128^(N+1)-128^N
>>где N длинна текущего пароля и N+1 длинна пароля увеличенного на один
>>символ.
>
>- это одно и то же.
>или В 128 раз,
>или НА 128^(N+1)-128^N штук

читаем: "добавление к паролю всего одного символа увеличит перебор _в_ 128 раз"

тут говориться о приросте, а не кол-ве перебираемых комбинаций.
кол-во будет 128 раз больше, да.
прирост будет: 128^(N+1)-128^N.

128^3-128^2
2080768

128^2*128
2097152

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Дима Иванов email on 16-Ноя-09, 14:12 
Поддерживаю. SSH на другой порт и неожиданностей больше нет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Димтнрий on 16-Ноя-09, 15:06 
>Поддерживаю. SSH на другой порт и неожиданностей больше нет.

в данный момент может это и неплохое решение (просто потому что тупо перебирается логин и пароль), но кто знает, что будет в дальнейшем, лучше думаю все-таки разграничить доступ по этому порту только нужным компам

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

77. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от FSA (??) on 16-Ноя-09, 17:12 
Только поправочка. Метод хорош, если вам просто нужно закрыть вход для любопытных глаз, например как раз для целей создания ботнета. Смысл перебирать каждый порт на левых IP??? Проще найти SSH на стандартных портах. Тем более, что если порт нестандартный, то скорее всего и подобрать пароль для машины будет гораздо сложнее.
НО! Если ваш сервер/сеть представляет для кого-то интерес, то сменить порт - это ничто. Хотя как первый этап защиты пойдёт. А если ещё и закрывать порт при подозрениях сканирования портов тоже неплохо будет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

80. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 17:23 
>Только поправочка. Метод хорош, если вам просто нужно закрыть вход для любопытных
>глаз, например как раз для целей создания ботнета. Смысл перебирать каждый
>порт на левых IP??? Проще найти SSH на стандартных портах. Тем
>более, что если порт нестандартный, то скорее всего и подобрать пароль
>для машины будет гораздо сложнее.
>НО! Если ваш сервер/сеть представляет для кого-то интерес, то сменить порт -
>это ничто. Хотя как первый этап защиты пойдёт. А если ещё
>и закрывать порт при подозрениях сканирования портов тоже неплохо будет.

Перенос порта — это чистой воды security by obscurity. Защищаться-то ведь надо от самой сильной атаки, а это обычно как минимум целенаправленное сканирование портов и подбор по конкретным учётным записям. Тратить время и силы на настройку и поддержку прочих решений — только лишний гемморой наживать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

83. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от Андрей (??) on 16-Ноя-09, 17:41 
>Поддерживаю. SSH на другой порт и неожиданностей больше нет.

согласен. ибо на перебор портов уже защита сработает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

110. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Аноним (??) on 16-Ноя-09, 20:15 
> согласен. ибо на перебор портов уже защита сработает.

А если перебор распределенный, тоже сработает? От распределенного брутфорса вон не срабатывает. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

112. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Warhead Wardick on 16-Ноя-09, 20:18 
Дуууууу ... На перебор паролей значит не сработает, а на перебор портов - таки да? Да ви таки сказочник :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Аноним (??) on 16-Ноя-09, 13:17 
регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие логины типа test? Перевешивать на левый порт SSH не буду, пусть мучаются подбирают, использую ключи вместо паролей )
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

63. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от ьтл on 16-Ноя-09, 16:32 
>регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие
>логины типа test?

а почему думаете нет? есть кривые настройки ssh в которых возможно разрешение конектить всем. потом жертва создает для теста юзеря, мозг естестна генерит что-то типа "test213" через которые его потом и имеют...

усложнить пасс и менять его каждые N дней, не вижу проблем чтоб добавить не стандартный порт, запретить конекты из Антарктиды. Все это уже хорошее решение, даже при том что руки будут повышенной кривизны.

а вообще забыть про пароли и использовать ключи, не стандартные порты, органиченный список доверительных хостов. Главное мозг включить и не забывать что нет непреодолимых защит, все равно терморектальный криптоанализ выдает все пароли и явки... поменьше нужно рассказывать о применяемым приемам... косить под дурака мол все по дефолту))


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

84. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Андрей (??) on 16-Ноя-09, 17:43 
>>регулярно читаю логи auth.log и смеюсь, неужели есть страусы которые используют такие
>>логины типа test?
>
>а почему думаете нет? есть кривые настройки ssh в которых возможно разрешение
>конектить всем. потом жертва создает для теста юзеря, мозг естестна генерит
>что-то типа "test213" через которые его потом и имеют...

подтверждаю. был случай именно тестовой учетки test. через нее и хапнули ;-) но т.к. учетка ничем не владела, кроме как сунуть в /tmp файлик весом в 1.5MB и запустить его на поиск других узлов - ничего другого не вышло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

213. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от edo (ok) on 17-Ноя-09, 12:55 
а могли бы проверить с десяток local root exploit'ов
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

153. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +2 +/
Сообщение от Админ Веня on 16-Ноя-09, 22:25 
я бы еще рекомендовал повесить "дырку" на 22 порт. пускай пробуют.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от m (??) on 16-Ноя-09, 13:19 
Пользуйтесь ключами и будем вам счастье
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –3 +/
Сообщение от Аноним (??) on 16-Ноя-09, 13:24 
Спасибо, такое счастье https://www.opennet.ru/opennews/art.shtml?num=17592 нам не нужно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Tav on 16-Ноя-09, 14:10 
А нефиг создавать ключи с пустой пассфразой.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от DEC (??) on 16-Ноя-09, 14:45 
А зачем тогда ключи? Можно просто килобайтный пароль юзать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

72. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от Daemontux (ok) on 16-Ноя-09, 16:59 
>А зачем тогда ключи? Можно просто килобайтный пароль юзать.

Можно и ssh отключить и сервервер в сейфе запереть ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

81. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Tav on 16-Ноя-09, 17:27 
>  А зачем тогда ключи? Можно просто килобайтный пароль юзать.

man ssh-agent

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

104. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 16-Ноя-09, 19:24 
>>  А зачем тогда ключи? Можно просто килобайтный пароль юзать.
>
>man ssh-agent

+1 :))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

85. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от anonymous (??) on 16-Ноя-09, 17:45 
++

многофакторная аутентификация решает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –3 +/
Сообщение от gennady (??) on 16-Ноя-09, 13:20 
След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени.
Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь не улучшению безопасности.
Видимо скоро от ssh придется отказаться, как в свое время от telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC рулит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +4 +/
Сообщение от zazik (ok) on 16-Ноя-09, 13:22 
>След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени.
>
> Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь
>не улучшению безопасности.
> Видимо скоро от ssh придется отказаться, как в свое время от
>telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC
>рулит.

Слишком толсто. Протокол никак не влияет на выбор идиотом логина/пароля admin:admin.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

188. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от ibat (??) on 17-Ноя-09, 11:01 
>
>Слишком толсто. Протокол никак не влияет на выбор идиотом логина/пароля admin:admin.

Блин. Как ТЫ прав.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +2 +/
Сообщение от аноним on 16-Ноя-09, 14:10 
> След. версия ботнет учет возможность работы на нестандартных портах. Это вопрос времени

Замедлив перебор в 65 тысяч раз. Думайте головой иногда.

> Вообще сам такой факт говорит, что растущее число nix-систем привело отнюдь не
> улучшению безопасности

Наоборот. Новость как раз очень показательна - при такой распространенности unix систем, что на них начинают делать ботнеты, используют только уязвимости в людях.

> Видимо скоро от ssh придется отказаться, как в свое время от telnet. Т.к. переходить
> на гимор с сертификатам мало кто захочет. IPSEC рулит.

Бредятина.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +2 +/
Сообщение от pavlinux (ok) on 16-Ноя-09, 14:18 
function request_from_bot_server_port_range() {    

     i = get_worker_attakers()

     if ( i )  
        PORT_MIN =  1024 + (65535 - 1024 * i);
        PORT_MAX =  65535/i;

return "PORT_MIN-PORT_MAX";
}

PR = request_from_bot_server_port_range;

OPEN_PORTS = `nmap -sT server --scan-delay 2 -p $PR | grep open`

sleep 3600;

for i in $OPEN_PORTS
    do
       ssh  root@server -i identity_file -p $i;
       sleep 600;  
done

        
Как-то так :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +2 +/
Сообщение от Аноним email(??) on 16-Ноя-09, 15:03 
В 65 тысяч раз он не замедлится. Он замедлится всего лишь на время, требуемое для сканирования портов.

А вот всего лишь добавление еще одного символа к паролю замедлит подбор в 128 раз.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Tav on 16-Ноя-09, 16:15 
Именно так. Использование нестандартного порта увеличивает перебор _на_ 65000, добавление к паролю всего одного символа увеличит перебор _в_ 128 раз. Таким образом, если в пароле больше 2-х символов, выбор нестандартного порта не даст заметного улучшения безопасности.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от qwertykma on 16-Ноя-09, 16:20 
>В 65 тысяч раз он не замедлится. Он замедлится всего лишь на
>время, требуемое для сканирования портов.
>
>А вот всего лишь добавление еще одного символа к паролю замедлит подбор
>в 128 раз.

а вы не отслеживаете что кто-то перебирает у Вас порты? о_О

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

82. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от Tav on 16-Ноя-09, 17:29 
> а вы не отслеживаете что кто-то перебирает у Вас порты? о_О

а вы не отслеживаете что кто-то перебирает у Вас пароли?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

102. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 16-Ноя-09, 18:50 
> В 65 тысяч раз он не замедлится

Да. При переборе 65 тысяч он вообще невозможен, потому что после обращения к 2-3 закрытым портам можно сразу банить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

103. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 18:53 
>> В 65 тысяч раз он не замедлится
>
>Да. При переборе 65 тысяч он вообще невозможен, потому что после обращения
>к 2-3 закрытым портам можно сразу банить.

Нет, просто можно одновременно подбирать пароли на 65 000 хостов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

152. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 16-Ноя-09, 22:20 
И как это поможет?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

154. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 22:29 
>И как это поможет?

Суммарная скорость подбора будет та же. Не забывайте, что речь сейчас идёт не о целенаправленных атаках. Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты. Например, узел A сканит порты 1024-1039, узел Б — 1040-1056 и т.д.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

223. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 17:33 
> Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты.

Повторяю - это уменьшение эффективности в 65 тысяч раз.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

226. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 17:39 
>> Достаточно в рамках ботнета формировать список целей и ответственных, допустим, за такие-то порты.
>
>Повторяю - это уменьшение эффективности в 65 тысяч раз.

В рамках задачи ботнета — «найти как можно больше доступных шеллов» — нет. Ограничений на исходящие коннекты обычно нигде не делается, сканируй — не пересканируешь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

230. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 18:19 
>Повторяю - это уменьшение эффективности в 65 тысяч раз.

не "в", а "на"


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от fetisheer (ok) on 16-Ноя-09, 15:36 
>Т.к. переходить на гимор с сертификатам мало кто захочет.

Никакого гемороя с сертификатами нет:
1. Создание ключа. Если не хватает знаний и умений на генерацию ключа, то для этого есть множество GUI и скриптов, которые не требуют параметров.
2. Прописывание в authorized_keys. Здесь даже сложно придумать сложность. Единственное, если из под другого юзера прописываешь, то надо поменять права файла.
3. Использование. Если из-под *nix системы, то достаточно поместить в нужное место и он сам подхватиться. В ином случае добавление -i ключ - не большая нагрузка. Из под виндоус putty прекрасно работает с ключами.

Отказ от telnet - тоже не совсем верно. Он занял свою нишу. Например, все свичи у нас находятся в отдельном влане, недоступном для пользователей и управляются через telnet.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

105. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 16-Ноя-09, 19:26 
>[оверквотинг удален]
>
>Никакого гемороя с сертификатами нет:
>1. Создание ключа. Если не хватает знаний и умений на генерацию ключа,
>то для этого есть множество GUI и скриптов, которые не требуют
>параметров.
>2. Прописывание в authorized_keys. Здесь даже сложно придумать сложность. Единственное, если из
>под другого юзера прописываешь, то надо поменять права файла.
>3. Использование. Если из-под *nix системы, то достаточно поместить в нужное место
>и он сам подхватиться. В ином случае добавление -i ключ -
>не большая нагрузка. Из под виндоус putty прекрасно работает с ключами.

ssh-agent :)) как уже писали))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от qwertykma on 16-Ноя-09, 16:22 
> Видимо скоро от ssh придется отказаться, как в свое время от
>telnet. Т.к. переходить на гимор с сертификатам мало кто захочет. IPSEC
>рулит.

Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

141. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 21:51 
>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.

Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак, пароль в открытом виде... особенно круто если вы за тридевять земель и по воздуху его шлете, ага). А локально порулить любой дурак может, только сидеть как цербер над железкой только потому что она тупая - не прикольно ни разу, имхо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

172. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 03:46 
>>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
>
>Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак,
>пароль в открытом виде... особенно круто если вы за тридевять земель
>и по воздуху его шлете, ага). А локально порулить любой дурак
>может, только сидеть как цербер над железкой только потому что она
>тупая - не прикольно ни разу, имхо.

заходите на сервак по ssh с него к свитчу по telnet и айда все крушить и ломать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

179. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 17-Ноя-09, 09:38 
>заходите на сервак по ssh с него к свитчу по telnet

Ну да, легко стоять на плечах гигантов :P. А без ssh-а (или иного секурного туннеля) то и опаньки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

186. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 10:39 
>>заходите на сервак по ssh с него к свитчу по telnet
>
>Ну да, легко стоять на плечах гигантов :P. А без ssh-а (или
>иного секурного туннеля) то и опаньки.

конечно, но пользовать то все равно можно, хоть и через костыли, если вдруг нужно ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

251. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 21-Ноя-09, 08:40 
Мне кажется что юзать телнет подставив ему SSH - редкий идиотизм. И изгаляться так приходится только благодаря проприетарным тормозам прогресса, которые все никак не снимутся с ручника и реализуют то что им проще а не то что реально удобнее клиентам...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

256. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Sto on 21-Ноя-09, 18:00 
>>Вас кто-то обманул о "смерти" telnet. 8( Пользоваться надо уметь.
>
>Именно ремотно им пользоваться - достаточно самоубийственно (траффик не шифрован вообще никак,
>пароль в открытом виде... особенно круто если вы за тридевять земель
>и по воздуху его шлете, ага). А локально порулить любой дурак
>может, только сидеть как цербер над железкой только потому что она
>тупая - не прикольно ни разу, имхо.

да ну?
посмотрите как-нибудь телнет-сессию между двумя WIN-серверами в одном домене
потом пишите ... ересь всякую


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –3 +/
Сообщение от klalafuda on 16-Ноя-09, 13:25 

эммм... а что, кто-то ещё ходит по ssh не через ключи но через пароли? хм. ну что ж, ССЗБ как говорится. 'Тогда мы идём к вам!' (c)..

// wbr

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от zazik (ok) on 16-Ноя-09, 13:42 
>
>эммм... а что, кто-то ещё ходит по ssh не через ключи но
>через пароли? хм. ну что ж, ССЗБ как говорится. 'Тогда мы
>идём к вам!' (c)..
>
>// wbr

Чем плохи пароли?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +3 +/
Сообщение от Аноним (??) on 16-Ноя-09, 13:55 
>Чем плохи пароли?

Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем остальным для которых открыт беспарольный доступ по ключам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от zazik (ok) on 16-Ноя-09, 14:04 
>>Чем плохи пароли?
>
>Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем
>остальным для которых открыт беспарольный доступ по ключам.

Кейлоггеры решают эту проблему для парольной защиты. А ключи надо хранить на сменном носителе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +2 +/
Сообщение от vbv (??) on 16-Ноя-09, 14:58 
ключи надо хранить на сменном носителе.....
Пить надо меньше.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от zazik (ok) on 16-Ноя-09, 15:18 
>ключи надо хранить на сменном носителе.....
>Пить надо меньше.

Куда уж меньше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

142. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 21:53 
>Кейлоггеры решают эту проблему для парольной защиты.

Ну если так рассуждать то и файло ремовабельного носителя в принципе умыкнуть можно, в том числе и достаточно незаметно. Если вам подсунули кейлоггер - то и приблуду которая ключ с флехи вынет подсунут с таким же успехом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

144. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от zazik (ok) on 16-Ноя-09, 22:01 
>>Кейлоггеры решают эту проблему для парольной защиты.
>
>Ну если так рассуждать то и файло ремовабельного носителя в принципе умыкнуть
>можно, в том числе и достаточно незаметно. Если вам подсунули кейлоггер
>- то и приблуду которая ключ с флехи вынет подсунут с
>таким же успехом.

Можно. Поэтому, как здесь уже не раз говорилось, главное - мозг(точнее, его наличие), а не ключи/пароли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Name on 16-Ноя-09, 16:24 
>Видимо тем, что хакнув одну машину не получишь сразу доступ ко всем
>остальным для которых открыт беспарольный доступ по ключам.

Ну если это машина, на которую заходят, то пофигу, пусть смотрят принимающий ключ, мастера то не получат


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от mike_t on 16-Ноя-09, 13:43 
клаф, муторно с ключами и не всегда удобно
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от Василий (??) on 16-Ноя-09, 13:54 
>клаф, муторно с ключами и не всегда удобно

Не просто муторно и неудобно, а в некоторых случаях ещё и совсем невозможно. Не каждый клиент умеет работать с ключами, а ситуации, в которых только такие клиенты под рукой, бывают. MidpSSH, например: SSH application for Java compatible phones and other mobile devices.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от zzz (??) on 16-Ноя-09, 14:04 
midpssh как раз умеет по ключу, а в некоторых случаях даже _только_ по ключу (по паролю у него не получается)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

87. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от ьтл on 16-Ноя-09, 17:55 
>Не каждый клиент умеет работать с ключами

зачем тогда беспокоится о безопастности!? если люди которые будут работать с системой не способны по бумажке-инструкции работать???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

119. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Василий (??) on 16-Ноя-09, 20:43 
>>Не каждый клиент умеет работать с ключами
>
>зачем тогда беспокоится о безопастности!? если люди которые будут работать с системой
>не способны по бумажке-инструкции работать???

Люди пускай работают как хотят. А программы не все умеют работать с ключами. Пример такой программы приводил выше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от pavlinux (ok) on 16-Ноя-09, 14:03 
Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"

Причём, запоминается очень легко.

Самый лучший ключ - это мозг.
Ключ можно просрать, украсть, консоль открытой оставить, ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от gluk47 on 16-Ноя-09, 14:47 
'Rj;fyyjq' с одной 'y' грамотнее))
И циферок можно добавить) А вообще, есть словари для перебора и непереключённого русского, хотя и не столь популярны. Можно попытаться делать всякие нестандартные ошибки и замены букв...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

62. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от pavlinux (ok) on 16-Ноя-09, 16:28 
>'Rj;fyyjq' с одной 'y' грамотнее))
>И циферок можно добавить) А вообще, есть словари для перебора и непереключённого
>русского, хотя и не столь популярны.

А зря, скажу по секрету, в банковской сфере очень распространённый прием,
вплоть до неприличных - Yfnfif, Ktyjxrf, - Наташа, Леночка,  Ukfd<e[ - ГлавБух,
Vjq Rjgm.nth - Мой Компьютер, Hf,jxbqGfhjkm - Рабочий Пароль, Ljvfiybq Gfhjkm - Домашниц Пароль и т.п. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

145. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 22:06 
>А зря, скажу по секрету, в банковской сфере очень распространённый прием,

Этот прием очень распостранен у завирусованых дебилов из вконтакта просравших свои пароли, так что увы, банкиры оказались не оригинальнее чем типовой дебил кормящий рыб в контакте :D.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

150. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 22:17 
>>А зря, скажу по секрету, в банковской сфере очень распространённый прием,
>
>Этот прием очень распостранен у завирусованых дебилов из вконтакта просравших свои пароли,
>так что увы, банкиры оказались не оригинальнее чем типовой дебил кормящий
>рыб в контакте :D.

Собственно, это зачастую одна и та же аудитория…

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

184. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 17-Ноя-09, 10:22 
я думаю что в итоге хаксоры составят словарики на такие пароли, благо, конверсия существующих словарей в вот такие возможна в автоматическом режиме, на 1 дыхании. Так что эффективность такого подхода имхо весьма сомнительна, особенно после того как было две убедительных выборки по бакланам с вконтакта показывающим что немалый процент оных строит пароли именно так.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

68. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от pavlinux (ok) on 16-Ноя-09, 16:43 
> Можно попытаться делать всякие нестандартные ошибки и замены букв...

Собственно так же и создавать словарики.

Спасли бы ситуацию контрольные фразы, типа "Любимый футбольный игрок соседа",
или в связи с тотальной ГУЁвизацией, приделать пересылаемый Image объект с каляками.

    

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

89. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от ьтл on 16-Ноя-09, 17:59 
>Самый лучший ключ - это мозг.

Самый лучший снифер это паяльник.


>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>
>Причём, запоминается очень легко.

man apg - не катит?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

143. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 21:56 
>Самый лучший снифер это паяльник.

А вот от такого помогает ключ. Который можно и не таскать всегда с собой, а заодно можно и экстренно прое...ть "в случае чего".Правда тут еще вопрос надо ли, но тут уже по ситуации и в меру собственной дурости и храбрости.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

156. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Pilat (ok) on 16-Ноя-09, 22:58 
>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>
>Причём, запоминается очень легко.
>

Для системного администратора такой пароль возможен, только если он помнит раскладку клавиатуры наизусть. А я однажды видел в Германии клавиатуру с нестандартной раскладкой, и кто гарантирует что такая не будет единственно доступной?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

165. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 01:00 
>>Ну и чёй ты сделаешь на такой пароль: "Nfv Cbltkf Vehrf D
>>Rj;fyyjq Ne;ehrt? F Bp Gjl Gjks Njhxfk Yfufy"
>>
>>Причём, запоминается очень легко.
>>
>
>Для системного администратора такой пароль возможен, только если он помнит раскладку клавиатуры
>наизусть. А я однажды видел в Германии клавиатуру с нестандартной раскладкой,
>и кто гарантирует что такая не будет единственно доступной?

В принципе верно. Хотя ИТ-шнику не уметь вслепую находить клавиши — ИМХО, недостойно. Но клавиатуры могут попасться самые разные (например, клавиатура мобильника, которая отнюдь не QWERTY) — а пытаться моторную память превратить в визуальную получается далеко не всегда, да и муторно это.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +2 +/
Сообщение от Аноним (??) on 16-Ноя-09, 13:43 
Сервер согласился что пароль рута "Мао Дзедун" ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Аноним (??) on 16-Ноя-09, 13:54 
ничего муторного с ключами нет, 2 раза прочел, 1 раз понял, 1 раз настроил.
А потом только любуешься на логи...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

185. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 17-Ноя-09, 10:36 
С сложным паролем тоже только любуешься на логи. И в чем выигрыш? А "любоваться" можно и на хренадцать мегов логов, если не повезло и брутят совершенно внаглую...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

190. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 11:09 
>С сложным паролем тоже только любуешься на логи. И в чем выигрыш?
>А "любоваться" можно и на хренадцать мегов логов, если не повезло
>и брутят совершенно внаглую...

выигрыш в том, что ты экономишь время при заходах и не мучаешь клаву лишний раз забивая или копи-пастя пароль, а при наличии 10+ серверов у тебя либо везде один пароль - что является уязвимостью, либо табличка под рукой с этими паролями - что является уязвимостью. вот и думай кто дурак.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от Ну типа имя on 16-Ноя-09, 14:00 
Судя по логам идет подбор по логинам:

bin
clamav
ftp
mysql
news
nobody
root
www-data

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от Sergey email(??) on 16-Ноя-09, 14:03 
я делал не читая... там всё логично
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Tav on 16-Ноя-09, 14:14 
1. По возможности использовать ключи, а не пароли.
2. Всегда использовать только зашифрованные ключи с пассфразой, чтобы доступ к одной машине с ключами не позволил получить доступ ко всем остальным.

На самом деле, главная проблема: сервера с кучей пользователей, которых трудно заставить использовать надежные пароли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от pavlinux (ok) on 16-Ноя-09, 14:35 
>1. По возможности использовать ключи, а не пароли.
>2. Всегда использовать только зашифрованные ключи с пассфразой, чтобы доступ к одной
>машине с ключами не позволил получить доступ ко всем остальным.
>
>На самом деле, главная проблема: сервера с кучей пользователей, которых трудно заставить
>использовать надежные пароли.

PAM

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

122. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от V (??) on 16-Ноя-09, 20:47 
NSS
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Georges (ok) on 16-Ноя-09, 14:39 
и все эти пользователи имеют доступ к серверу по SSH ?
тогда уж лучше вручную выдавать, или автоматически генерировать пароли
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Tav on 16-Ноя-09, 16:21 
> и все эти пользователи имеют доступ к серверу по SSH ?

Да. Например, это университетский сервер с SSH-доступом для студентов.

> тогда уж лучше вручную выдавать, или автоматически генерировать пароли

Так и делаем, но у пользователей остается возможность изменить пароль.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

106. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 16-Ноя-09, 19:28 

>Так и делаем, но у пользователей остается возможность изменить пароль.

Забрать passwd :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

115. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от zazik (ok) on 16-Ноя-09, 20:28 
>
>>Так и делаем, но у пользователей остается возможность изменить пароль.
>
>Забрать passwd :)

/etc/passwd? Да хоть обчитайся.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

139. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 16-Ноя-09, 21:46 
>>
>>>Так и делаем, но у пользователей остается возможность изменить пароль.
>>
>>Забрать passwd :)
>
>/etc/passwd? Да хоть обчитайся.

нет, бинарь :)
С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его нельзя (если тем же strace посмотреть, очень много где используется)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

147. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от zazik (ok) on 16-Ноя-09, 22:08 
>>>
>>>>Так и делаем, но у пользователей остается возможность изменить пароль.
>>>
>>>Забрать passwd :)
>>
>>/etc/passwd? Да хоть обчитайся.
>
>нет, бинарь :)
>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>нельзя (если тем же strace посмотреть, очень много где используется)

Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я в курсе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

160. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 16-Ноя-09, 23:46 
>[оверквотинг удален]
>>>>Забрать passwd :)
>>>
>>>/etc/passwd? Да хоть обчитайся.
>>
>>нет, бинарь :)
>>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>>нельзя (если тем же strace посмотреть, очень много где используется)
>
>Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я
>в курсе.

Ну вот, отберите права на запуск бинаря у обычных юзеров) Они и не сменят больше пароль

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

183. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от zazik (ok) on 17-Ноя-09, 10:19 
>[оверквотинг удален]
>>>
>>>нет, бинарь :)
>>>С теневыми паролями в /etc/passwd никакого смысла нет, вообще-то, а забирать его
>>>нельзя (если тем же strace посмотреть, очень много где используется)
>>
>>Видимо, где-то я не догнал. Как и для чего используется /etc/passwd я
>>в курсе.
>
>Ну вот, отберите права на запуск бинаря у обычных юзеров) Они и
>не сменят больше пароль

В этом месте и не догнал. "Забрать passwd" == скачать passwd, скопировать passwd.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

191. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 11:11 
# ls -al /usr/bin/passwd
-r-sr-xr-x  2 root  wheel  6128 Nov 11 19:42 /usr/bin/passwd*

удачи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от slay (??) on 16-Ноя-09, 14:23 
бредятина. есть 70 серваков, авторизация по паролям, за 8 лет пока не  подобрали. а через 3*8лет - пензия. пущай перебирают
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Аноним (??) on 16-Ноя-09, 14:41 
iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator --update --seconds 600 --hitcount 4 -j DROP

И пускай долбятся хоть с миллиона хостов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от al (??) on 16-Ноя-09, 15:39 
Будете сидеть и лапу сосать, когда вас задосят.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от НоуНэйм on 16-Ноя-09, 16:00 
Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

231. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Ро on 17-Ноя-09, 20:43 
>Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен

нормальный способ. блокируется ведь брутфорсер, а не весь интернет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

243. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Аноним (??) on 18-Ноя-09, 19:18 
>>Ты мазохист. тогда уж лучше закрой SSH если он тебе не нужен
>нормальный способ. блокируется ведь брутфорсер, а не весь интернет

и легального пользователя заблокирует если он чаще будете подключатся, это правило ведь не проверяет успешный вход был или нет, оно просто пакеты считает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

235. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от pavel_simple (ok) on 18-Ноя-09, 00:52 
>iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator
>--set
>iptables -A INPUT -p TCP --syn --dport 22 -m recent --name radiator
>--update --seconds 600 --hitcount 4 -j DROP
>
>И пускай долбятся хоть с миллиона хостов.

наивный аноним даже не представляет, что при переполнении таблицы , старые записи удаляются -- так что перебор достаточно производить ip_list_tot + 1 , в свою очередь ip_list_tot по умолчанию равен 100.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от User294 (ok) on 16-Ноя-09, 14:44 
Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились. Наверное как раз потому что срач в логе на много мегов - админов задалбывает и они имеют тенденцию бороться с такой активностью. И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем они их так подберут...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от vbv (??) on 16-Ноя-09, 15:01 
>Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень
>нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились.
>Наверное как раз потому что срач в логе на много мегов
>- админов задалбывает и они имеют тенденцию бороться с такой активностью.
>И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи
>ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем
>они их так подберут...

Полностью поддерживаю! :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 16:19 
>Боянисты, мля. Я уж давно заметил что наглые брутфорсы ssh-паролей (которые очень
>нравятся айпитаблесу с правильными настройками и прочием fail2ban-ам и подобным) закончились.
>Наверное как раз потому что срач в логе на много мегов
>- админов задалбывает и они имеют тенденцию бороться с такой активностью.
>И начались медленные и аккуратные переборы с разных хостов. Впрочем, удачи
>ботнетчикам сломать мои рутовые пароли :). Думается, солнце погаснет раньше чем
>они их так подберут...

А ещё можно выдрать из логов особо внушительную подборку попыток подбора пароля, распечатать и принести генеральному, требуя повышения зарплаты за денную и нощную защиту его бизнеса от тысяч хакеров. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

125. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 21:11 
>А ещё можно выдрать из логов особо внушительную подборку попыток подбора пароля,

Это надо было делать чуть раньше - логи пухли одно время очень конкретно, но сейчас хаксоры перестали наглеть (видимо, потому что такой срач в логи часто ведет к озадачиванию админов как с этим срачем бороться) и перешли к медленным и распределенным сканам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от Аноним email(??) on 16-Ноя-09, 15:19 
Копец юниксоиды, увидев новость что червь подбирает пароли по словарику из ста слов, сразу начинают толкать идеи что надо ssh на другой порт перевешивать, сделать вход по ключам и отпечаткам пальцев или вообще не пользоваться ssh.

Это как некоторые отключаются от интернета, посмотрев нужные страницы, потому что в интернетах Вирусы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Аноним (??) on 16-Ноя-09, 15:44 
В идеале оно правильно.
Если в сервисе нет необходимости он должен быть отключен
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +2 +/
Сообщение от Гений (??) on 16-Ноя-09, 16:14 
DenyHosts (http://denyhosts.sourceforge.net/) простая и действенная защита от подбора паролей по ssh.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от ITCrow on 16-Ноя-09, 16:14 
Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 16:22 
>Неужели у всех доступ к сервакам по SSH открыт не только для
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????

Ну, у всех не у всех, а мне вот удобнее так — в случае проблем на работе я могу в Сеть выйти хоть в Папуа Новой Гвинее, был бы GPRS или ещё какой способ достучаться. У всех свои задачи, и чем действительно хорош SSH — он даёт возможность их решать максимально безопасным в рамках их условий способом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

97. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Vitaly_loki (ok) on 16-Ноя-09, 18:43 
>Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????

Прикинь, едешь ты в паровозе далеко-далеко от дома и тут тебе SMS прилетает от крона (или от начальника) с сообщением "Все пропало, шеф", если твоем GSM-телефону персональный IP не выделен (причем в роуминге), то не сладко тебе придется едь ты по-любому только для рабочего и домашнего компа доступ то открыл..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

98. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Vitaly_loki (ok) on 16-Ноя-09, 18:45 
>Неужели у всех доступ к сервакам по SSH открыт не только для довереных хостов, с разрешенной подсети а просто так напрямую в мир????

Прикинь, едешь ты в паровозе далеко-далеко от дома и тут тебе SMS
прилетает от крона (или от начальника) с сообщением "Все пропало, шеф",
если твоему GSM-телефону персональный IP не выделен (причем в роуминге), то
не сладко тебе придется ведь ты по-любому только для рабочего и
домашнего компа доступ то открыл..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

129. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 21:21 
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????

А потом, когда что-то опнется, а у вас только какойнить n800 (а то и вовсе только мобила) да жпрс под рукой - всосать, да? Нет уж, спасибочки, я видел достаточно дятлов наступивших на эти грабли, когда что-то упало, а у них под рукой только жпрс. Как-то +1 к их числу быть совсем неохота.

Кстати для маскировки под пенька есть забавная штука - port knocking. Для тех кто не знает последовательность стукания по портам - никакого ssh у вас как бы вообще не существует :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

161. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 16-Ноя-09, 23:52 
>Кстати для маскировки под пенька есть забавная штука - port knocking. Для
>тех кто не знает последовательность стукания по портам - никакого ssh
>у вас как бы вообще не существует :-)

Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот если большую часть дня по ним ходишь, то рулит ssh-agent и bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

174. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 03:58 
>Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь, то рулит ssh-agent и
>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
>

алиасы... девушка, дуйте читать man ssh_config, а еще жайлы засирали, блин, тоже поди ман на них не осилили?

# head /root/.ssh/config
Host XXX
User admin
Port 999

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

178. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 17-Ноя-09, 07:20 
>[оверквотинг удален]
>>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))
>>
>
>алиасы... девушка, дуйте читать man ssh_config, а еще жайлы засирали, блин, тоже
>поди ман на них не осилили?
>
># head /root/.ssh/config
>Host XXX
> User admin
> Port 999

Тоже вариант, если везде используются разные порты. А Вы всегда сидите под рутом о_О:)?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

193. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 11:29 
>Тоже вариант, если везде используются разные порты. А Вы всегда сидите под
>рутом о_О:)?

это правильный способ, а не вариант ;)

это удаленная машинка, на которой, в скрине, у меня идет работа с кучей других машинок, по-этому ничего страшного и криминального.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

204. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 17-Ноя-09, 12:04 
>это удаленная машинка, на которой, в скрине, у меня идет работа с
>кучей других машинок, по-этому ничего страшного и криминального.

Ну да, такая "машинка" есть у многих (у нас даже несколько, под разные департаменты), но _зачем_ на ней сидеть под рутом :)?

Особенно если на "машинке" почти у всех запущен ssh-agent, и пользуется ей несколько человек?

Кстати, тогда уж /etc/ssh/ssh_config, который будет формироваться каким-нибудь скриптом, где-нибудь(в SQL, в LDAP, и т д) беря соотвествие хост-порт по крону :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

220. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 15:56 
>>это удаленная машинка, на которой, в скрине, у меня идет работа с
>>кучей других машинок, по-этому ничего страшного и криминального.
>
>Ну да, такая "машинка" есть у многих (у нас даже несколько, под
>разные департаменты), но _зачем_ на ней сидеть под рутом :)?
>
>Особенно если на "машинке" почти у всех запущен ssh-agent, и пользуется ей
>несколько человек?

она у меня монопольна в юзании. сидеть от юзера конечно можно было бы, но в данном случае не вижу разницы, тем-более рут упрощает жизнь, когда нужно что-то сделать с мониторилкой, которая соседствует со мной.

>Кстати, тогда уж /etc/ssh/ssh_config, который будет формироваться каким-нибудь скриптом, где-нибудь(в SQL, в
>LDAP, и т д) беря соотвествие хост-порт по крону :)

да, и это еще правильнее решение, если ведется нормальная база серверов с таковым описанием (хост,алиаст_хост,ип,порт,юзер). единственное, что я предпочитаю не трогать системные конфиги, если можно обойтись локальными, но если юзеров у вас много сидит, то оно оправдано.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

207. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 17-Ноя-09, 12:17 
> а еще жайлы засирали, блин, тоже
>поди ман на них не осилили?

А Вы мне теперь это всю жизнь будете припоминать, и обязательно анонимно?

По-моему, высказать обоснованную критику любого решения это право каждого человека, Вы не находите?
Если Вы считаете, что с моей стороны в чем-то эта точка зрения объяснена недостаточно исчерпывающе и точно, я предлагаю продолжить в той теме _дискуссию_ если Вы в чем-то не согласны с данной позицией, либо в личке :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

221. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 16:10 
>> а еще жайлы засирали, блин, тоже
>>поди ман на них не осилили?
>
>А Вы мне теперь это всю жизнь будете припоминать, и обязательно анонимно?

анонимы все помнят, анонимы все знают :) был бы ник, написал бы от него.


>По-моему, высказать обоснованную критику любого решения это право каждого человека, Вы не
>находите?
>Если Вы считаете, что с моей стороны в чем-то эта точка зрения
>объяснена недостаточно исчерпывающе и точно, я предлагаю продолжить в той теме
>_дискуссию_ если Вы в чем-то не согласны с данной позицией, либо
>в личке :)

да, считаю, что вы не обоснованно раскритиковали жайлы, хотя это даже не критика, т.к. критика должны быть подтверждена фактами, коих не было. все что я хотел сказать, я сказал там, продолжать спор на эту тему думаю не уместно, вы сами сказали, что не хотите ни с кем ссорится и несколько раз делали попытки уйти из темы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

222. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 17-Ноя-09, 16:40 

>да, считаю, что вы не обоснованно раскритиковали жайлы, хотя это даже не
>критика, т.к. критика должны быть подтверждена фактами, коих не было. все
>что я хотел сказать, я сказал там, продолжать спор на эту
>тему думаю не уместно, вы сами сказали, что не хотите ни
>с кем ссорится и несколько раз делали попытки уйти из темы.

Факты были(я ответила на все разуменые комментарии и объяснила свою позицию детально), тема мне действительно надоела, но считаю, что Вы не правы в том, что факты я не предоставляла.

Если Вы хотите продолжить дискуссию, напишите в той теме, что именно я не подтвердила фактами, тут это оффтоп.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

180. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 17-Ноя-09, 09:40 
>Как то это... слишком уморительно. Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь,

... то надо, наверное, написать скриптик который сделает за вас обезьянью работу :D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

181. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 17-Ноя-09, 10:15 
>Как то это... слишком уморительно.

Зато может спасти от такой напасти: когда кто-то слишком уж нагло брутит ssh, sshd имеет тенденцию довольно прилично кушать ресурсы, в общем то, при том не важно - удалась авторизация или нет, если их придет много, ресурсов будет на это дело покушано. Что как-то неприятненько. Ну и срач в логи.

>Если серверов один-два, еще ладно, а вот
>если большую часть дня по ним ходишь, то рулит ssh-agent и
>bash-алиасы на ssh -p <ваш любимый порт, где висит sshd :)))

Оно в принципе не замена порткнокинга. Например см. выше почему. И, собственно я не понял - а какие проблемы автоматизировать стучание на порты? Просто у вас то скриптик или что там еще для стукания - есть, а вот хаксор Вася с улицы не знающий как стучать, видит только закрытый порт. И откуда б ему узнать как там надо правильно стучаться по портам чтобы порт открылся? В итоге даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп от фаера. Это несколько лучше чем если б они в 20 рыл насели на sshd с активным брутом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

199. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 17-Ноя-09, 11:59 
>[оверквотинг удален]
>
>Оно в принципе не замена порткнокинга. Например см. выше почему. И, собственно
>я не понял - а какие проблемы автоматизировать стучание на порты?
>Просто у вас то скриптик или что там еще для стукания
>- есть, а вот хаксор Вася с улицы не знающий как
>стучать, видит только закрытый порт. И откуда б ему узнать как
>там надо правильно стучаться по портам чтобы порт открылся? В итоге
>даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп
>от фаера. Это несколько лучше чем если б они в 20
>рыл насели на sshd с активным брутом.

Хорошо, возможно, Вы правы. Просто в большой сети вероятность того, что какой-то "левый" пакет попадет не на тот порт, и нарушит последовательность, мне кажется, выше. Но, наверное, ей можно принебречь)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

203. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 12:03 
>[оверквотинг удален]
>>- есть, а вот хаксор Вася с улицы не знающий как
>>стучать, видит только закрытый порт. И откуда б ему узнать как
>>там надо правильно стучаться по портам чтобы порт открылся? В итоге
>>даже если 20 флудеров задумает посканить ssh, они найдут лишь отлуп
>>от фаера. Это несколько лучше чем если б они в 20
>>рыл насели на sshd с активным брутом.
>
>Хорошо, возможно, Вы правы. Просто в большой сети вероятность того, что какой-то
>"левый" пакет попадет не на тот порт, и нарушит последовательность, мне
>кажется, выше. Но, наверное, ей можно принебречь)

"Левый пакет" с того же IP? Вероятность тут никак не зависит от размеров сети за фаерволом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

206. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 17-Ноя-09, 12:09 
>"Левый пакет" с того же IP? Вероятность тут никак не зависит от
>размеров сети за фаерволом.

Возможно, даже для публичного IP больше. Да, написала чушь. Скорее просто не хочется разбираться с тем, что *когда-нибудь* не пустит(что из-за большего числа хостов скорее случится), но, думаю, вероятность этого очень мала, так что, можно использовать:)

В общем, написала, повторюсь, чушь.

UPDATE: + чушь про публичный IP, он в любом случае-то публичный :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

224. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 17:33 
>Неужели у всех доступ к сервакам по SSH открыт не только для
>довереных хостов, с разрешенной подсети а просто так напрямую в мир????

Разумеется. Вы http сервер тоже только для доверенных открываете?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 16-Ноя-09, 16:22 
Port knocking рулит.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 16:24 
Атаки с ботсетей наблюдаю уже далеко не первый год — почти столько, сколько прошло с первого поднятого SSH-сервера, доступного из инета. :) Ну пусть подбирают, что уж тут… Для особо упорных max-src-conn-rate в pf стоит, а те, кто себя аккуратно ведёт — может, за пару тыщ лет что-нибудь и подберут. :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

64. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от q2dm1 on 16-Ноя-09, 16:33 
Можно iptables хитро настроить, чтобы он открывал 22 порт для соединения только после стука на какой-нить 43126 ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

67. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от Tav on 16-Ноя-09, 16:42 
Такой же бесполезный костыль, как и ssh на нестандартном порте.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

75. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 17:09 
>Такой же бесполезный костыль, как и ssh на нестандартном порте.

И даже вредный: с мобильника пока постучишься по всем портам, все таймауты отвалятся.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

130. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 21:23 
>И даже вредный: с мобильника пока постучишься по всем портам, все таймауты
>отвалятся.

А скрипт написать? На какойнмть n8x0 вполне себе вариант :).А с чего-то более убогого ssh юзать слишком уж траходромно...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

134. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 21:32 
>>И даже вредный: с мобильника пока постучишься по всем портам, все таймауты
>>отвалятся.
>
>А скрипт написать? На какойнмть n8x0 вполне себе вариант :).А с чего-то
>более убогого ssh юзать слишком уж траходромно...

Зато порой актуально. Я как-то раз с Motorola v535 что-то чинил. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

146. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 22:07 
После n8x0 (которые вполне таскабельны с собой) ssh на остальных телефонах кажется каким-от нереальным порно...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

151. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 22:17 
>После n8x0 (которые вполне таскабельны с собой) ssh на остальных телефонах кажется
>каким-от нереальным порно...

«Жизнь заставит — не так раскорячишься!» ©

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

182. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 17-Ноя-09, 10:18 
Ну да, 1 разок не так давно было: забыл n800 зарядить и пришлось геморроиться с мобилы, putty-ей для S60, оставшейся с до-n800-ых времен. С тех пор я не забываю заряжать n800, т.к. оценил разницу в трудоемкости... :D.Хуже ssh с мобилы - только удаление гланд через *опу автогеном.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

198. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 11:58 
>Ну да, 1 разок не так давно было: забыл n800 зарядить и
>пришлось геморроиться с мобилы, putty-ей для S60, оставшейся с до-n800-ых времен.
>С тех пор я не забываю заряжать n800, т.к. оценил разницу
>в трудоемкости... :D.Хуже ssh с мобилы - только удаление гланд через
>*опу автогеном.

Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно ключики лежат и прочие приятности. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

209. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от sHaggY_caT (ok) on 17-Ноя-09, 12:22 

>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>ключики лежат и прочие приятности. ;)

Кстати, Вы шифрование $HOME не делали? Если да, то dm-crypt (если на ноуте Linux)? Или как-то еще?
Просто задумалась, как решить проблему возможной потери вместе с железкой какой-то информации... (кстати, и той же N800, которую я с собой тоже всегда тягаю, ноут таки слишком тяжелый для повседневного ношения, во всяком случае, для меня)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

216. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 14:29 
>
>>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>>ключики лежат и прочие приятности. ;)
>
>Кстати, Вы шифрование $HOME не делали? Если да, то dm-crypt (если на
>ноуте Linux)? Или как-то еще?

Делал через vnconfig. Думаю в отпуске почистить систему и переехать на softraid. Да, это не Linux, это OpenBSD. :)

>Просто задумалась, как решить проблему возможной потери вместе с железкой какой-то информации...
>(кстати, и той же N800, которую я с собой тоже всегда
>тягаю, ноут таки слишком тяжелый для повседневного ношения, во всяком случае,
>для меня)

Это дело вкуса. :) Мой весит два кило — будучи таблеткой и с усиленной батареей. Когда доломаю — возьму что-нибудь ещё полегче (думаю всё же отказаться от функционала таблетки, сейчас стало малоактуально). Зато это настоящий, в полном смысле этого слова, персональный компьютер. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

253. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 21-Ноя-09, 08:54 
>Да, это не Linux, это OpenBSD. :)

На ноуте :).А кстати там управление питанием то нормальное? А то и с линухами то грабли бывают (да и не только с ними). А как с этим дела у OpenBSD?

P.S. это не попытка потроллить, мне просто натурально интересно состояние дел.

> Мой весит два кило

Мде. ИМХО, таскать немелкую дурынду весом 2 кг *везде* - как-то не прикольно ни разу.

> Зато это настоящий, в полном смысле этого слова, персональный компьютер. :)

А придумайте что n8x0 не сможет чего сможет он в таком контексте? Единственное разумное что я вижу - эзернет проводной. И то кому сильно надо даже проводной эзернет через usb-ethernet сетевки цепляли AFAIK, впрочем я просто сделал так что могу попасть по wi-fi или gprs куда мне надо и лично мне проводной эзернет не требуется :P

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

254. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 21-Ноя-09, 10:06 
>>Да, это не Linux, это OpenBSD. :)
>
>На ноуте :).А кстати там управление питанием то нормальное? А то и
>с линухами то грабли бывают (да и не только с ними).
>А как с этим дела у OpenBSD?

Управление питанием работает, в том числе всякие SpeedStep'ы. Единственный заметный минус — sleep mode в ACPI не пашет, только в APM (правда, при четырёх часах работы от батарей и быстром старте самой ОС даже с GENERIC-ядром — это не такая уж и проблема). Как пишут разработчики, проблема не заснуть, проблема проснуться. :) Часть компов уже умеет просыпаться, но не более. А так — не жалуюсь, всё что можно было контролировать в винде, работает и здесь.

>> Мой весит два кило
>
>Мде. ИМХО, таскать немелкую дурынду весом 2 кг *везде* - как-то не
>прикольно ни разу.

Я всё равно по жизни с сумкой хожу, про которую всегда спрашивают: «ты там что, кирпичи таскаешь?», — это просто стиль жизни, кому как удобнее. :)

>> Зато это настоящий, в полном смысле этого слова, персональный компьютер. :)
>
>А придумайте что n8x0 не сможет чего сможет он в таком контексте?

Сел в метро, подключил мобильник, открыл экран — сижу, ковыряюсь в коде, пока в фоне ползёт почта и подключается Kopete (ОСь настроена автоматически подключаться к Сети при подключении мобильника или BlueTooth-модуля). По желанию — музыка, благо наличие жёсткого диска позволяет хранить далеко не один гигабайт. Трекпойнт вполне позволяет обходиться без мышки в иксах, с ним только в трёхмерные игры особо не поиграешь, да только когда последний раз до них руки доходили… В общем, это настолько же удобнее n800, насколько n800 удобнее обычного мобильника. ;)

>Единственное разумное что я вижу - эзернет проводной. И то кому
>сильно надо даже проводной эзернет через usb-ethernet сетевки цепляли AFAIK, впрочем
>я просто сделал так что могу попасть по wi-fi или gprs
>куда мне надо и лично мне проводной эзернет не требуется :P

У меня есть тенденция перегонять иногда по проводам музыку, клипы с YouTube и фильмы — проводной гигабит как-то с этим лучше справляется. ;)

Если б я был в вашей ситуации — наверняка бы думал именно о коммуникаторе. Если бы вы были в моей — наверняка юзали бы ноут. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

257. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 23-Ноя-09, 19:35 
>>>Да, это не Linux, это OpenBSD. :)
>>
>>На ноуте :).А кстати там управление питанием то нормальное? А то и
>>с линухами то грабли бывают (да и не только с ними).
>>А как с этим дела у OpenBSD?
>
>Управление питанием работает, в том числе всякие SpeedStep'ы. Единственный заметный минус —
>sleep mode в ACPI не пашет, только в APM

Не прошло и недели, как начавшийся h2k9 изменил и это. :)

CVSROOT:        /cvs
Module name:    src
Changes by:     pirofti@cvs.openbsd.org 2009/11/23 09:21:54

Modified files:
        sys/arch/amd64/amd64: acpi_machdep.c machdep.c
        sys/arch/i386/i386: acpi_machdep.c machdep.c
        sys/dev/acpi   : acpi.c acpibtn.c acpivar.h

Log message:
Remove ACPI_SLEEP_ENABLED checks.

This enables by default the suspend/resume paths in the kernel.

Okay deraadt@.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

233. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от szh (ok) on 17-Ноя-09, 22:19 
> Вы шифрование $HOME не делали?

для $HOME/$USER лучше ecryptfs использовать как это в ubuntu 9.10 сделано

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

252. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 21-Ноя-09, 08:48 
>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>ключики лежат и прочие приятности. ;)

Таскать *везде* с собой ноутбяк мне как-то не прикольно, он как бы весит и места занимает... n800 то на поясе или в кармане болтается, как и телефон. С ноутом так не катит.А ключики можно на n800 положить.Вот только у пароля есть 1 плюс: он прокатывает на любом компьютере без предварительных условий.Т.е. меньше рисков при случае приложиться мордой об стол (с другой стороны - появляется риск попадания на сниффер клавы, так что тут аккуратность не помешает).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

255. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 21-Ноя-09, 10:13 
>>Поэтому обычно я просто подключаю мобильник к верному ThinkPad X60, там заодно
>>ключики лежат и прочие приятности. ;)
>
>Таскать *везде* с собой ноутбяк мне как-то не прикольно, он как бы
>весит и места занимает... n800 то на поясе или в кармане
>болтается, как и телефон. С ноутом так не катит.А ключики можно
>на n800 положить.

Дело вкуса.

>Вот только у пароля есть 1 плюс: он прокатывает
>на любом компьютере без предварительных условий.Т.е. меньше рисков при случае приложиться
>мордой об стол (с другой стороны - появляется риск попадания на
>сниффер клавы, так что тут аккуратность не помешает).

А я доступ по паролю редко и запрещаю (ну, кроме рута, конечно). Просто удобнее ключи один раз за сеанс расшифровать и юзать без дополнительного пароля, чем каждый раз пароль вводить (особенно в том же транспорте не хочется свой пароль светить лишний раз — я набираю, конечно, достаточно быстро, но если по нескольку раз, то…)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

225. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 17:34 
>Такой же бесполезный костыль, как и ssh на нестандартном порте.

Это как раз идеальное решние. Попросил бы вас описать не костыль, но вы, боюсь не осилите.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

228. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 17:44 
>>Такой же бесполезный костыль, как и ssh на нестандартном порте.
>
>Это как раз идеальное решние. Попросил бы вас описать не костыль, но
>вы, боюсь не осилите.

Это НЕ идеальное (точнее, не универсальное) решение: есть ситуации, когда нет возможности или затруднительно делать port knocking.

Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная система (или пароли вообще не используются), то ботнет может максимум притормозить работу сети и/или sshd — да и это произойдёт в результате целенаправленной атаки, что уже совсем другой разговор. Замусоривание логов — миф, с логами надо уметь работать — иначе любой залётный хакер будет заставлять впадать в ступор. Иными словами, если быть нормальным админом, то подобные извращения попросту становятся не нужны.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

236. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от pavel_simple (ok) on 18-Ноя-09, 01:04 
>Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная
>система ...

не соглашусь с вами , по той простой причине что окромя того, что перебор, никто пока не гарантирует, что в ssh не найдут такую-жу дыришу как недавно в реализации ssl от openssl/gnutls

P.S. дополнительный portknock позволит не делать "резких движений" по обновлению ПО, особенно такого критичного как ssh.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

237. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 18-Ноя-09, 01:15 
>>Повторюсь: по-моему, здесь обсуждается решение надуманной проблемы. Если у вас нормальная парольная
>>система ...
>
>не соглашусь с вами , по той простой причине что окромя того,
>что перебор, никто пока не гарантирует, что в ssh не найдут
>такую-жу дыришу как недавно в реализации ssl от openssl/gnutls
>
>P.S. дополнительный portknock позволит не делать "резких движений" по обновлению ПО, особенно
>такого критичного как ssh.

Так в том-то и дело, что в новости речь идёт о том, что «ах, ботнет, какстрашножыть». Ну, пробует народ комбинации «ftp:ftp» и «test:test», ну и пусть пробует. Если найдут страшную дыру в той или иной распространённой реализации SSH (или самом протоколе), то это ничего не изменит в случае целенаправленной атаки, в ходе которой используется и сканирование портов в том числе.

Port knocking помогает бороться не столько против перебора тупых паролей ботнетами, сколько против сканирования портов — это, всё же, разные угрозы. И повторю: да, эта технология достаточно эффективна, просто иногда неприемлема. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

238. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от pavel_simple (ok) on 18-Ноя-09, 01:32 
специально вывесив год назад машинку в тырнет могу сказать, что ботнет этот (точнее сам скрипт) совершенствуется

сначала был тупой скрипт, который имел при себе список пользователей + список самых часто встречающихся паролей, долбил исключительно на 22

второй скрипт, помимо того, что имел связь с обновлениями списков (причем через dns), долбил 222,2222 и ещё пару вариантов, а так-же сравнивал свою базу пользователей с /etc/passwd, и в случае чего отправлял новые имена по http на всякие бесплатные хостинги

последний отловленный дополнительно ищет утилиты nmap, arp/arping, и в случае нахождения arp записей в первую очередь сканирует ip машинок в едином для зараженной  машины ethernet "домене".

так чтаа.... все эти перевесил на другой порт... это полная фигня

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

65. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от Derevo_2 on 16-Ноя-09, 16:40 
>Зафиксирована новая ботнет-сеть, распространяющаяся через SSH

А почему так долго фиксировали? Я давно заметил.
Смысл переставлять sshd на другой порт?
Пусть подбирают. Удачи в безнадёжном деле...

Единственное, что напрягает ---- разбухание лог-файлов.
Поэтому 22-й порт зафаерволлил пока не пройдёт эпидемия...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

69. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от troy email(??) on 16-Ноя-09, 16:46 
Пора давно вводить политику запрета возможности создания простых паролей (по умолчанию). Как в виндовых серверах. Хочешь пароль 111, лезь во внутрь и отдельно снимай ограничения.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

70. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от angel_il on 16-Ноя-09, 16:49 
...
Nov 15 23:03:56 dropbear[6638]: Child connection from 93.92.47.25:54716
Nov 15 23:03:58 dropbear[6638]: login attempt for nonexistent user from 93.92.47.25:54716
Nov 15 23:03:58 dropbear[6638]: exit before auth: Disconnect received
Nov 15 23:03:58 dropbear[6639]: Child connection from 93.92.47.25:54965
Nov 15 23:04:00 dropbear[6639]: login attempt for nonexistent user from 93.92.47.25:54965
Nov 15 23:04:00 dropbear[6639]: exit before auth: Disconnect received
Nov 15 23:04:01 dropbear[6640]: Child connection from 93.92.47.25:55202
Nov 15 23:04:02 dropbear[6640]: login attempt for nonexistent user from 93.92.47.25:55202
Nov 15 23:04:03 dropbear[6640]: exit before auth: Disconnect received
Nov 15 23:50:38 dropbear[6641]: Child connection from 202.107.233.156:55877
Nov 15 23:50:42 dropbear[6641]: login attempt for nonexistent user from 202.107.233.156:55877
Nov 15 23:50:43 dropbear[6641]: exit before auth: Disconnect received
Nov 15 23:50:44 dropbear[6642]: Child connection from 202.107.233.156:56349
Nov 15 23:50:47 dropbear[6642]: login attempt for nonexistent user from 202.107.233.156:56349
Nov 15 23:50:48 dropbear[6642]: exit before auth: Disconnect received
Nov 15 23:50:52 dropbear[6643]: Child connection from 202.107.233.156:56769
Nov 15 23:50:54 dropbear[6643]: login attempt for nonexistent user from 202.107.233.156:56769
Nov 15 23:50:55 dropbear[6643]: exit before auth: Disconnect received
Nov 15 23:50:59 dropbear[6644]: Child connection from 202.107.233.156:57517
Nov 15 23:51:02 dropbear[6644]: login attempt for nonexistent user from 202.107.233.156:57517
Nov 15 23:51:03 dropbear[6644]: exit before auth: Disconnect received
Nov 15 23:51:04 dropbear[6645]: Child connection from 202.107.233.156:55148
Nov 15 23:51:10 dropbear[6645]: login attempt for nonexistent user from 202.107.233.156:55148
Nov 15 23:51:11 dropbear[6645]: exit before auth: Disconnect received
Nov 15 23:51:11 dropbear[6646]: Child connection from 202.107.233.156:55861
Nov 15 23:51:14 dropbear[6646]: login attempt for nonexistent user from 202.107.233.156:55861
Nov 15 23:51:15 dropbear[6646]: exit before auth: Disconnect received
Nov 15 23:51:15 dropbear[6647]: Child connection from 202.107.233.156:56347
Nov 15 23:51:19 dropbear[6647]: login attempt for nonexistent user from 202.107.233.156:56347
Nov 15 23:51:20 dropbear[6647]: exit before auth: Disconnect received
Nov 15 23:51:21 dropbear[6648]: Child connection from 202.107.233.156:56795
Nov 15 23:51:25 dropbear[6648]: login attempt for nonexistent user from 202.107.233.156:56795
Nov 15 23:51:26 dropbear[6648]: exit before auth: error reading: Connection reset by peer
Nov 15 23:51:26 dropbear[6649]: Child connection from 202.107.233.156:57351
Nov 15 23:51:31 dropbear[6649]: login attempt for nonexistent user from 202.107.233.156:57351
Nov 15 23:51:32 dropbear[6649]: exit before auth: Disconnect received
Nov 15 23:51:36 dropbear[6650]: Child connection from 202.107.233.156:57796

надо наверное сегодня покумекать будет...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

78. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от mkmv (ok) on 16-Ноя-09, 17:13 
пароли в мозге хранить надо.

makepasswd --minchars 10 --maxchars 10
vQU81uPUSD

Отличный пароль. И запоминается нормально.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

79. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от angel_il on 16-Ноя-09, 17:17 
ну да, только пользователя root у меня нет, так что перебирать долго будут, а вот то что логи загаживают это плохо...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

133. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 21:29 
>будут, а вот то что логи загаживают это плохо...

Правило айпитаблесу (или кому там у вас скормите) и сильно загаживающие логи - пойдут лесом. Можно просто отстреливать тех кто чрезмерно долбится, можно более кардинально - порткнокинг нарулить, тогда отстрелятся все кто не в курсе как правильно постучаться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

162. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от angel_il on 17-Ноя-09, 00:00 
>>будут, а вот то что логи загаживают это плохо...
>
>Правило айпитаблесу (или кому там у вас скормите) и сильно загаживающие логи
>- пойдут лесом. Можно просто отстреливать тех кто чрезмерно долбится, можно
>более кардинально - порткнокинг нарулить, тогда отстрелятся все кто не в
>курсе как правильно постучаться.

Да не то чтобы это сложно на wl500 сделать, просто лениво... пароль не подберут, имя пользователя не угадают, если только дыру в дропбире какую заюзают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

197. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 17-Ноя-09, 11:51 
Фигасе, это 500gp так осаждают? Во оригиналы :). Интересно, что бы они делали если брут удался? :). И там проц не грузится? А то я на обычном серванте засек как-то довольно заметную нагрузку а при разборках что же кушает проц - заметил что орава дятлов насела на sshd и брутит так что только флуд в логах стоит :).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

219. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от angel_il on 17-Ноя-09, 14:36 
ну дропбир он какбы полегче sshd будет... я не замечал особых напрягов с точкой, в момент когда они ломились, если честно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

260. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 24-Ноя-09, 16:41 
>с точкой, в момент когда они ломились, если честно.

Я заметил 10% нагрузки на хост без причин. Ну, поинтересовался откуда оно - оказывется хаксоры толпой ssh брутят, в логи срут знатно. Поотстрливал на файрволе - жрач проца прекратился :). А дропбир - да, поменьше и полегче, но криптография все-равно на каждого лабуха раскочегаривается.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

86. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 16-Ноя-09, 17:53 
да и матрицу 10*100 (символов в пароле * кол-во машинок) ни какого труда запомнить не составит, выучить можно на вечер %)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

148. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 22:08 
>да и матрицу 10*100 (символов в пароле * кол-во машинок) ни какого
>труда запомнить не составит, выучить можно на вечер %)

Ну тогда можно и ключик вызубрить а потом в хексэдиторе его наколотить :)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

100. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Vaso Petrovich on 16-Ноя-09, 18:46 
>пароли в мозге хранить надо.

это только тем, у кого он есть...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

157. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Pilat (ok) on 16-Ноя-09, 23:03 
>пароли в мозге хранить надо.
>
>makepasswd --minchars 10 --maxchars 10
>vQU81uPUSD
>
>Отличный пароль. И запоминается нормально.

И сколько десятков таких паролей сэр хранит в своём мозге?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

159. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 23:23 
>>пароли в мозге хранить надо.
>>
>>makepasswd --minchars 10 --maxchars 10
>>vQU81uPUSD
>>
>>Отличный пароль. И запоминается нормально.
>
>И сколько десятков таких паролей сэр хранит в своём мозге?

Тс-с-с! Не пали, это же Онотоле!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

261. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от mkmv (ok) on 30-Ноя-09, 10:37 
>>>пароли в мозге хранить надо.
>>>
>>>makepasswd --minchars 10 --maxchars 10
>>>vQU81uPUSD
>>>
>>>Отличный пароль. И запоминается нормально.
>>
>>И сколько десятков таких паролей сэр хранит в своём мозге?
>
>Тс-с-с! Не пали, это же Онотоле!

ну 17 храню. Пока

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

88. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Frank email(??) on 16-Ноя-09, 17:56 
а что, никто не юзает fail2ban?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

90. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от angel_il on 16-Ноя-09, 18:01 
>Fail2ban scans log files like /var/log/pwdfail or /var/log/apache/error_log and bans IP

написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

126. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от voodix (ok) on 16-Ноя-09, 21:12 
>написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.

1. Через iptables баню на день IP-шник после 50 попыток. (скриптом автоматом в кроне) 2 года уже и нечему даже распухать.


2. Root закрыл вход по ssh


3.Пароль такой, что, - как говорил турецкий паша: раньше Дунай поднимется в небеса, и небо упадет на землю, прежде чем крепость Измаил падет. (Правда Суворов таки взял тогда крепость)
Вот сменить порт - это тема...  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

132. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 21:28 
>>написано же в топике, банилка распухнет банить, весь мир забанить... IP адреса атакующих постоянно меняются.
>
>1. Через iptables баню на день IP-шник после 50 попыток. (скриптом автоматом
>в кроне) 2 года уже и нечему даже распухать.

Я баню за 5-10 попыток в течение минуты на несколько часов. Эффект 100%. :)

>2. Root закрыл вход по ssh

Это вообще обязательная мера (точнее, запрет входа по паролю).

>3.Пароль такой, что, - как говорил турецкий паша: раньше Дунай поднимется в
>небеса, и небо упадет на землю, прежде чем крепость Измаил падет.
>(Правда Суворов таки взял тогда крепость)

Главное, не забывать его менять хотя б раз в год…

>Вот сменить порт - это тема...

… бесполезная. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

128. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от voodix (ok) on 16-Ноя-09, 21:17 
PS Имя пользователя хоть и простое, но не разу не попадалось в логах...  вот такой зигзаг удачи.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

175. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 04:33 
>PS Имя пользователя хоть и простое, но не разу не попадалось в
>логах...  вот такой зигзаг удачи.

кстати о именах: на днях просматривая логи нашел имя: natasha :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

116. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 20:30 
> а что, никто не юзает fail2ban?

Смысл? Один хост делает всего 1 или несколько медленных банов. Так можно самому бан отхватить :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

93. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Дмитрий Ю. Карпов on 16-Ноя-09, 18:33 
Почему никто не догадался сделать обманку? Обманка пустит взломщика в виртуальный шелл под любым паролем и будет крутить ему мозги, пока ему не надоест.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

95. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 18:37 
>Почему никто не догадался сделать обманку? Обманка пустит взломщика в виртуальный шелл
>под любым паролем и будет крутить ему мозги, пока ему не
>надоест.

Почему не догадался? honeypot'ам не первый десяток лет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

99. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от srgaz on 16-Ноя-09, 18:46 
Вход по ключу, + проль)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

108. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от i (??) on 16-Ноя-09, 20:00 
+1
давно так сделал, теперь класть я хотел на эти переборы
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

118. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 20:34 
>Вход по ключу, + проль)

У ключа есть один минус. Он же впрочем и плюс. В голову не влезает, знаете ли. Поэтому иногда, если заранее ключ с собой не утянул - можно и всосать. С другой стороны, то же самое можно сказать и про желающих получить доступ к вашему ресурсу :).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

120. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от i (??) on 16-Ноя-09, 20:46 
так это.. ношу на мелкой флешке, как брилок вместе с ключами (железными от квартиры :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

137. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 21:38 
>так это.. ношу на мелкой флешке,

Я n800 юзаю, в том числе иногда и для ssh - не очень представляю себе как удобно юзать при этом флешки. Флешку и кабель везде с собой таскать? Вот *вы* и таскайте. И у меня большие сомнения что кто-то ломанет 12..15-символьные пароли которых явно нет в словарях за разумный срок. Удачи чувакам в их сломе, ага. Если они подберут их к моменту погасания солнца - мне уже будет все-равно, поверьте :P. Я знаю только один метод слома таких паролей - фишинг (да, вконтакт опять поимели и там и сложные пароли были). Но с ssh он имеет свойство не работать из-за проверки аутентичности хоста и наличия мозга у того кто за терминалом...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

117. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Sw00p aka Jerom email on 16-Ноя-09, 20:31 
развели не флуд, а чёрт знает что

ссх накая вещь что доступ к ней надо граничиват по полной программе
и тогда не будут мощолить глаза записи в месседж логах

менять порт это первое что придёт на ум (конечно же если человек не уверен что его пасс стойкий)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

121. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 16-Ноя-09, 20:46 
>развели не флуд, а чёрт знает что
>
>ссх накая вещь что доступ к ней надо граничиват по полной программе

Если вы не можете доверять своему shell-серверу, то, боюсь, бояться надо не вежливых ботнетов…

>и тогда не будут мощолить глаза записи в месседж логах

Которые, вообще-то можно анализировать хотя бы даже grep'ом. У меня не возникает проблемы каждый день проглядывать (посмеиваясь) логи пяти серверов с доступом по SSH извне. Будет серверов больше — поставлю какую-нибудь утилиту для анализа, или сам наваяю.

>менять порт это первое что придёт на ум (конечно же если человек
>не уверен что его пасс стойкий)

Если он в этом не уверен, то ему надо заниматься чем угодно, только не ИТ-безопасностью.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

138. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 16-Ноя-09, 21:41 
>ссх накая вещь что доступ к ней надо граничиват по полной программе

Конечно, ведь приятнее всего когда сервак лежит и вы не можете ничего поделать как раз из-за граблей которые сами же себе и разложили :-).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

187. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Sw00p aka Jerom email on 17-Ноя-09, 10:40 
да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))

сервер пашет админ спит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

200. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 12:00 
>да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))
>
>
>сервер пашет админ спит

Читайте, на что именно вам отвечают. И с каких этот пор переезд сам по себе стал ограничительной мерой?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

205. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от User294 (ok) on 17-Ноя-09, 12:07 
>да не знал что червак может лежать от переустановленного порта ссх )))))))))))))))

Он может лежать по другим причинам. И если ssh на выход админы все-таки обычно на фаерах не режут (т.к. пользуются :D) то вот нестандартные порты могут быть и прибиты (чтобы вируссы и прочая хрень типа троянов и всяких бэкдоров - всосали). Посему из какойнить энтерпрайзности на нестандартный порт - может и не получиться.

>сервер пашет админ спит

Хорошо если так. Но насчет ограничений - видел несколько прикольных epic fail-ов когда админы разрешали только trusted подсети, а потом ... потом сервак падал, админ в чистом поле с жпрсрм и - попу рвет, потому что жпрс ни разу не является доверяемой подсетью, разумеется. В лучшем случае админ окольными путями протискивался в свою подсеть. В хучшем сервак был в дауне на достаточно длительный срок.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

166. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  –1 +/
Сообщение от voodix (ok) on 17-Ноя-09, 01:40 
Докладываю: сменил порт ssh. За Время наблюдения, - 4 часа,- ни одна сфолочь не попыталась обратиться к ssh по указаному порту.
  Продолжаю наблюдение.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

167. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 01:43 
>Докладываю: сменил порт ssh. За Время наблюдения, - 4 часа,- ни одна
>сфолочь не попыталась обратиться к ssh по указаному порту.
>  Продолжаю наблюдение.

Скажи IP ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

168. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от voodix (ok) on 17-Ноя-09, 02:26 
>Скажи IP ;)

  А зачем? ;)
Имени не знаешь - оно не соответствует нику, а пароль 15 значный с набором непечатно-матершинных символов. В nmap по скудному списку портов сразу поймешь на каком порту висит ssh - и что? Главно то, что всяка зараза не предполагает что 22 порт - не ssh. Он кстати вполне себе открыт.
И еще: на IP зарегистрирована реальная организация - открывать личную историю - не по Кастанеде.  


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

169. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 02:33 
>>Скажи IP ;)
>
>  А зачем? ;)

Чтобы сволочь появилась. ;) Не надо ко всему так серьёзно относиться. ;)

> Имени не знаешь - оно не соответствует нику, а пароль 15
>значный с набором непечатно-матершинных символов. В nmap по скудному списку портов
>сразу поймешь на каком порту висит ssh - и что? Главно
>то, что всяка зараза не предполагает что 22 порт - не
>ssh. Он кстати вполне себе открыт.
> И еще: на IP зарегистрирована реальная организация - открывать личную историю
>- не по Кастанеде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

170. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от voodix (ok) on 17-Ноя-09, 02:42 
>Не надо ко всему так серьёзно относиться. ;)

  Согласен. Буду работать над собой... =) в хорошем смысле...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

176. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Z581840 on 17-Ноя-09, 04:58 
Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По VPN коннектимся к серверу, а дальше чо хошь то и делаешь в локальной сети. В логах никаких переборов, и полная свобода действий. :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

196. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от zazik (ok) on 17-Ноя-09, 11:44 
>Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По
>VPN коннектимся к серверу, а дальше чо хошь то и делаешь
>в локальной сети. В логах никаких переборов, и полная свобода действий.
>:)

Тоже хороший вариант, пока не понадобится коннектиться из Зимбабве с мобилы.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

212. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от voodix (ok) on 17-Ноя-09, 12:51 
>Я так сделал, 22-ой порт за фаерволл, на серваках поднят mpd. По
>VPN коннектимся к серверу

Какая разница, к какой службе будут перебирать пароли. Что, VPN более защищен чем ssh?


PS. После смены порта ssh в логах полная тишина - никто больше не суется.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

208. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от upyx (ok) on 17-Ноя-09, 12:20 
Не так важно как, важно, чтобы не как у всех. И чтобы никто не знал :)

Блин... хочу себе бот-нетик... Чтобы он чего-нить делал, данные скидывал, графики по ним рисовались... Или лучше рыбок завести? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

218. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 17-Ноя-09, 14:31 
>Не так важно как, важно, чтобы не как у всех. И чтобы
>никто не знал :)
>
>Блин... хочу себе бот-нетик... Чтобы он чего-нить делал, данные скидывал, графики по
>ним рисовались... Или лучше рыбок завести? :)

Сделай ботнет для Android'ов, скоро будет актуально. ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

214. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Leshiy.BY on 17-Ноя-09, 13:38 
надо чтоб порт ssh был функцией от времени :) с маленьким шагом
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

215. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от pavel_simple (ok) on 17-Ноя-09, 13:45 
простейший portknock'ер работающий по icmp
-A INPUT -p icmp --icmp-type 8 -m length --length 153 -m recent --name pk --rsource --set -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 154 -m recent --name pk --rsource --update --hitcount 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m length --length 155 -m recent --name pk --rsource --update --hitcount 2 -j ACCEPT
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck -j ACCEPT
-A INPUT -p tcp --dport 22 -j DROP

для того чтобы открыть 22 порт достаточно и необходимо
ping -s 125 -c 1 адрес
ping -s 126 -c 1 адрес
ping -s 127 -c 1 адрес

количество пакетов регулируется через --hitcount
сами числа передаются через длину icmp-echo

хорош тем что инструмен "стучания" обычно доступен

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

227. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 17-Ноя-09, 17:40 
Да, пока какой-нибудь роутер не добавить хитровы*банную IP опцию в заголовок.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

229. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от pavel_simple (ok) on 17-Ноя-09, 17:51 
>Да, пока какой-нибудь роутер не добавить хитровы*банную IP опцию в заголовок.

какую?
man iptables


   length
       This module matches the length of the layer-3 payload (e.g. layer-4 packet) f a packet against a specific value or range of values.

       [!] --length length[:length]

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

232. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Ро on 17-Ноя-09, 21:09 
за изобретение 5 :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

239. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от pavel_simple (ok) on 18-Ноя-09, 02:02 
>[оверквотинг удален]
>
>для того чтобы открыть 22 порт достаточно и необходимо
>ping -s 125 -c 1 адрес
>ping -s 126 -c 1 адрес
>ping -s 127 -c 1 адрес
>
>количество пакетов регулируется через --hitcount
>сами числа передаются через длину icmp-echo
>
>хорош тем что инструмен "стучания" обычно доступен

P.S.
поправка строка -A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck -j ACCEPT
должна выглядеть как
-A INPUT -p tcp --dport 22 -m recent --name pk --rsource --rcheck --hitcount 3 -j ACCEPT

иначе доступ будет открыт при "попадании" первого пакета

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

234. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Аноним (??) on 18-Ноя-09, 00:23 
На слабом канале 30кбит, Nmap выудил  нестанданртый порт ssh за scanned in 27.15 seconds. Получается  что использование нестандартного порта защиты не дает никакой, но от придурков ограждает.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

244. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от аноним on 18-Ноя-09, 19:23 
Еще раз - попытка коннекта к 2-3 закрытым портам с одного хоста = бан.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

240. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Pasha (??) on 18-Ноя-09, 10:41 
Злой хакер хочет поиметь SSH? Не вопрос. Дайте ему эту возможность.Ставим honeypot и экономим время как хакера, так и свое. Хакер возится в "песочнице", получает удовольствие. СБ принимает меры, вычисляя причину столь пристального внимания к информационному ресурсу. Техническая сторона вопроса - развести фейковые аккаунты для хонейпота и реальные аккаунты пользователей по разным "песочницам" с одного порта. В случае, если атака идет по "живому" аккаунту - аккаунт переводится в разряд фейковых, пользователю меняют аккаунт на другой, с имени любимой кошечки пользователя "Kitty" на имя любимой собачки сисадмина "UsR711290-09". Пользователь перетерпит. А СБ пускай займется выяснением причин утечки логина пользователя.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

241. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Pasha (??) on 18-Ноя-09, 10:46 
>Злой хакер хочет поиметь SSH? Не вопрос. Дайте ему эту возможность.Ставим honeypot
>и экономим время как хакера, так и свое. Хакер возится в
>"песочнице", получает удовольствие. СБ принимает меры, вычисляя причину столь пристального внимания
>к информационному ресурсу. Техническая сторона вопроса - развести фейковые аккаунты для
>хонейпота и реальные аккаунты пользователей по разным "песочницам" с одного порта.
>В случае, если атака идет по "живому" аккаунту - аккаунт переводится
>в разряд фейковых, пользователю меняют аккаунт на другой, с имени любимой
>кошечки пользователя "Kitty" на имя любимой собачки сисадмина "UsR711290-09". Пользователь перетерпит.
>А СБ пускай займется выяснением причин утечки логина пользователя.

P.S. Обеспечение безопасности информации - задача не только техническая. Порой проще слить хакеру дезу, чем героически сопротивлятся попыткам взлома исключительно техническими средствами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

242. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от pavel_simple (ok) on 18-Ноя-09, 12:34 
ребяты -- это ботнет -- тут никто особо информацией на дисках не интересуется
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

247. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от demo (??) on 19-Ноя-09, 14:52 
Это, правда, не ssh.
это vsftpd:

authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrator rhost=93.174.142.225 : 1959 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=61.152.239.49 : 33 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratur rhost=60.217.229.228 : 6871 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratore rhost=60.217.229.228 : 1564 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administratori rhost=60.217.229.228 : 1319 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrateur rhost=60.217.229.228 : 6871 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=administrator rhost=60.217.229.228 : 6869 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=amministratore rhost=60.217.229.228 : 5307 Time(s)
authentication failure; logname= uid=0 euid=0 tty=ftp ruser=Administrator rhost=200.156.25.75 : 1180 Time(s)

но настойчивость поразительная...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

248. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Аонон on 19-Ноя-09, 17:25 
Что ж тут поразительного? Бот каши не просит.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

249. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Edward (??) on 19-Ноя-09, 22:12 
А по-моему, это всё идиотизм. Развели демагогию. Из присутствующих кто-то пострадал? То-то... СПИДа нет и не будет. Баста.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

258. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Вячеслав (??) on 24-Ноя-09, 11:11 
Ботнет сеть - ломает идиотов. Хоть сколько нибудь понимающий в математике и компьютерах представитель хомосапиенс понимает что перебором паролей КОМП_ПОД_АДМИНОМ (а не чайником) взломать удастся через ООчень много лет.

Перенос порта - игрушка чтобы в логи не гадило и только. Криптостойкость увеличивается минуты на полторы.

iptables и/или хостэллоу помоему от брутфорса почти панацея.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

259. "Зафиксирована новая ботнет-сеть, распространяющаяся через по..."  +/
Сообщение от Вячеслав (??) on 24-Ноя-09, 11:13 
Ломают не пароли. Повод задуматься.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру