Online video hd

Смотреть красотки видео

Официальный сайт teledu 24/7/365

Смотреть видео бесплатно

25.09.10 00:45 hate

Есть вопрос!SSH honeypot

Интересует сабж - примерно каждые пять часов кто-то пытается брутфорсить пароли рута. Основной sshd перенес на абсолютно левый порт, мне это совсем не проблемно. Очень хочется узнать, что же они будут делать, если получат доступ к компу.
Просто запустить линукс в виртуалке и пробросить порты будет не очень хорошо - если там будет залита спамилка/червяк/прочие нехорошие вещи, то я окажусь в цепочке распространителей. Скрытность honeypot меня не особо (пока) волнует - пусть обнаруживают после входа.

Есть ли какие готовые и проверенные решения?


Теги:

dr_magnus 25.09.10 02:00 # +0
забей. просто забей. только что глянул свои логи, так ко мне каждую минуту кто-то коннект пытается поднять.
если тебя это напрягает, то почитай статейки по блокироке айпишника после нескольких неудачных коннектов на SSH.
а лучше, если у тебя нету никаких страшно секретных данных, просто забить.
любой айпишник, который светится в нете, подвергается подобным атакам. поставь лучше пароль понажденее или введи аутентификацию по ключам. и все будет нормально.
dr_magnus 25.09.10 02:12 # +1
что же они будут делать, если получат доступ к компу

не получат при надежных паролях и ключах.
ну а если уж ты совсем лохонешся, то, скорее всего, будешь одной из точек ботнета какого-нить.
hate 25.09.10 02:32 # +0
интересует как минимум ПО этого ботнета + будет ли оно пытаться запустить какие-нибудь локальные атаки
xT 25.09.10 02:12 # +4
кто-то пытается брутфорсить пароли рута
PermitRootLogin no

в sshd_config
hate 25.09.10 02:33 # +0
давно уже стоит
main 25.09.10 18:29 # +-1
И в чём тогда проблема?
hate 25.09.10 18:44 # +0
Очень хочется узнать, что же они будут делать, если получат доступ к компу.
ite 25.09.10 02:48 # +2
можешь попробовать довольно любопытную программу, во FreeBSD называется knock. Суть ее в том, что 22 порт открывается только после того как ты постучишься по 3-м любым портам, все настройки указываются в конфигурационном файле, в Linux, думаю есть такая же утилита.
main 25.09.10 18:33 # +-1
А можешь и не пробовать никаких програмок.
http://0x0800.blogspot.com/2009/04/port-knocking.html
flashvoid 25.09.10 07:09 # +3
Народ.
Вопрос был не как защититься а как посмотреть что они будут делать.
Вопрос про хонипот интересный.
albibek 25.09.10 11:31 # +1
Единственное известное мне решение вообще это Honeyd. Сам не пробовал, проверенности не обещаю.
stas_v 25.09.10 13:13 # +1
У меня стоит kippo.

Заведён root с паролем admin, раза два в день боты пароль угадывают, заходят, но вываливаются не введя ни одной команды. Если же заходить интерактивно всё выглядит нормально.

Сам kippo ссылается на Kojoney, как на своего вдохновителя - думаю его попробовать.
urandom 25.09.10 13:30 # +-1
Используй не пароли, а ключи.
zivot_je_cudo 25.09.10 16:09 # +1
Поставь виртуалку да понаблюдай.
hate 25.09.10 18:43 # +-2
1. как? снифать сеть между основой ОС и виртуалкой? а если трафик будет шифрованый?
2. как разобрать изменения сделанные хакерами?
3. ОС в виртуалке - тоже ОС, следовательно, она может стать узлом ботнета, т.е. распространять спам/червей/порно/прочие гадости, что является не совсем законным и лишних денег на адвоката у меня нет.
zivot_je_cudo 25.09.10 19:24 # +1
Ставишь любимую виртуалку (xen, kvm, vz ...), ставишь туда систему с ssh, пробрасываешь 22 порт, ставишь OUTPUT -P DROP. Для наблюдения можешь использовать, например, osec или выбрать что-то другое.
Ты ведь понимаешь, что ломятся не люди, а ботнет? И что защититься от этого проще пареной репы, можно ограничить количество SYN на 22-ой порт в секунду, использовать портнокинг (предпочтительно iptables). Вижу, что порт ssh ты перенес, этот способ "защиты" строго на любителя.
zivot_je_cudo 27.09.10 00:11 # +0
Кстати, очень подробно можно понаблюдать с помощью LiLaLo.
wiz 25.09.10 19:16 # +0
поставь fail2ban и спи спокойно.
mango 26.09.10 12:13 # +0
в sshd_config

AllowUsers user1 user2 alex23 ivan13 demon6

Через пробел имена пользователей. Кроме указанных - хрен кого пустит.

Посты Комментарии
Последние посты
    Посты Комментарии
    Последние комментарии
      Посты Комментарии
      Изменения
        Посты Комментарии Изменения Черновики Избранное
        Черновики (все)
          Посты Комментарии Изменения Черновики Избранное
          Избранное (всё)
            Посты Комментарии Изменения Черновики Избранное
            Лучшие блоги (все 140)
            Топ пользователей Топ блогов
            Топ пользователей Топ блогов
            Элита (все 2776 из 213 городов)
            Топ пользователей Топ блогов
            В сети: Vzlom, doraneko, dr_lo

            Новенькие: NightSovereign, paxlo, ormaturi, Joker, waterfly
            welinux.ru

            Смотреть онлайн бесплатно

            Онлайн видео бесплатно


            Смотреть русское с разговорами видео

            Online video HD

            Видео скачать на телефон

            Русские фильмы бесплатно

            Full HD video online

            Смотреть видео онлайн

            Смотреть HD видео бесплатно

            School смотреть онлайн