[ЖЖ][совет]Владельцам домашних серверов

жж, совет

0

0

Часто бывает видишь в разных логах хрень:
Jun 26 10:29:59 kwcenter proftpd[30387] homeserver (::ffff:91.193.35.240[::ffff:91.193.35.240]): FTP session opened.
Jun 26 10:29:59 kwcenter proftpd[30387] homeserver (::ffff:91.193.35.240[::ffff:91.193.35.240]): FTP session closed.
Jun 26 10:30:29 kwcenter proftpd[30390] homeserver (::ffff:91.193.35.240[::ffff:91.193.35.240]): FTP session opened.
Jun 26 10:30:29 kwcenter proftpd[30390] homeserver (::ffff:91.193.35.240[::ffff:91.193.35.240]): FTP session closed.

Явно видно какой-то брутфорс по ftp.
Засканил этот айпишник:
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-06-26 10:33 EEST
Interesting ports on s-91-193-35-240.under.net.ua (91.193.35.240):
Not shown: 1669 closed ports
PORT STATE SERVICE
21/tcp open ftp
135/tcp open msrpc
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
990/tcp open ftps
1110/tcp open nfsd-status
3389/tcp open ms-term-serv
4899/tcp open radmin
8000/tcp open http-alt
MAC Address: 00:18:F3:68:65:59 (Unknown)
Device type: general purpose
Running: Microsoft Windows 2003/.NET|NT/2K/XP
OS details: Microsoft Windows 2003 Server or XP SP2

Вопрос: что "хорошего" сделать чтобы сцуко не брутфорсил?
Перемещено cavia_porcellus из Talks

Ссылка

←	Проблема с отправкой письма из php скрипта через exim

apache, mod_ruby

→

Можно попробовать настроить tcp_wrappers и банить по IP после 5 неудачных попыток аутентификации. Сроки бана можно подобрать.

Ну или можно нажаловаться провайдеру этого хацкера (не всегда действенно, ибо брутфорсить могут боты).

Тему лучше в Secutity и Admin.

Sectoid ★★★★★
(26.06.09 11:39:02 MSD)

Ответ на: комментарий от Sectoid 26.06.09 11:39:02 MSD

> tcp_wrappers

энто в proftpd или в фаерволе? или где?

Komintern ★★★★★
(26.06.09 11:41:25 MSD) автор топика

Ответ на: комментарий от Komintern 26.06.09 11:41:25 MSD

Оффтоп

Крутые перцы. Не осталось ссылки на их выступление?
Это Чехи?

zero-1-2-3
(26.06.09 11:43:38 MSD)

Ссылка

> Вопрос: что "хорошего" сделать чтобы сцуко не брутфорсил?

1. Это зомби/бот.

2. Отправить e-mail с временем атаки и логами провайдеру.

Turbo_Mascal ★
(26.06.09 11:47:50 MSD)

Ссылка

>OS details: Microsoft Windows 2003 Server or XP SP2

Зомби из ботнета детектед.

> Вопрос: что "хорошего" сделать чтобы сцуко не брутфорсил?

Написать на ЛОР, очевидно.

nikolayd ★
(26.06.09 11:55:12 MSD)

Ссылка

>135/tcp open msrpc
>4899/tcp open radmin

ищи remote exploit и в ребут его

dimon555 ★★★★★
(26.06.09 12:55:47 MSD)

Ссылка

отключить FTP и использовать SFTP

~~phasma~~ ★☆
(26.06.09 13:01:03 MSD)

Ссылка

Как то на лоре проскакивала смертельная пинговалка для XP

kilolife ★★★★★
(26.06.09 13:13:41 MSD)

Ссылка

да забить нафиг, пока топтать всем ботнетом не начнут.

у меня ssh постоянно брутфорсят, но пока это чет не сильно напрягает. подобрать естественно обломятся, за рутовый пароль я спокоен.

если совсем затопчут, то iptables-ом банить по ип секунд на 20 после 3 неудачных попыток.

Rastafarra ★★★★
(26.06.09 14:00:34 MSD)

Ссылка

С подобными брутфорсами можно бороться вообще очень просто: перебрасывать сервисы на нестандартные порты. Дешево и сердито, хотя не всегда возможно.

aix27249 ★
(26.06.09 14:29:40 MSD)

Ссылка

http://sshguard.sourceforge.net/ ?

А когда дело доходит да фаервола - TARPIT на них, гадов!

nnz ★★★★
(26.06.09 23:27:50 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Проблема с отправкой письма из php скрипта через exim

apache, mod_ruby

→