[скан, брутфорс]Определить оружие атаки.

Перевесь на другой порт sshd и не мучайся. А вобще отключи аутентификацию по паролям и авторизируйся по ключам как это делают настоящие мужики. Для паранои можно ещё прикрутить knockd. И путь брутфорсеры отдохнут...

Скан через зомбихост это типа как idle-scan в nmap? Или нет?
Можно выяснить пригодна ли машина в качестве зомби с помощью nmap и если нет, то значит она не зомби (в контексте idle-scan).

s/путь/пусть/

> отключи аутентификацию по паролям и авторизируйся по ключам
реквестирую хауту

>реквестирую хауту
man sshd_config
на opennet вроде локализованная версия была.

главное:
Protocol 2
PubkeyAuthentication yes
всем остальным типам аутентификации - no

вкупе с ~/.ssh/config на машине, с которой захожу - просто сказка, никаких ключей в командной строке указывать не надо.

>никаких ключей в командной строке указывать не надо
даже не смотря на то, что порт не стандартный

> никаких ключей в командной строке указывать не надо.
интересно, спасибо :)

google://ssh+key+howto
Там куча хауту вылазиет.

Ну и в конфиге sshd соответственно:
Port: <some_random_port_not_in_default_nmap_port_scan_list>
PubkeyAuthentication yes
PasswordAuthentication no
ChallengeResponseAuthentication no
и другие виды аутентификации в no

Вот люблю я на "Ответить" нажимать и уходить куда-нибудь. Ничего не поделаешь ^^;

спасибо, ман уже покурил :)

кстати, есть ли такой юзерскрипт, который заменял бы строку google://sometext на <a href="http://www.google.com/search?q=sometext&sourceid=opera&num=0&ie=u...">google://sometext</a> ?

да конечно я все это сделал, просто я хочу понаблюдать за активностью, посмотреть какие он еще применить попытки помимо обычного сканирования портов и брутфорса. Думаю может как нибудь для интересса поддельный sshd в chroot'е вывесить.
>Скан через зомбихост это типа как idle-scan в nmap?
да это оно.

>Можно выяснить пригодна ли машина в качестве зомби с помощью nmap и если нет

Да пригодна, завтра приду выложу скан той машины, там Дебиан с кучей сервисов + анонимный фтп (правда без права записи) вот поэтому я и подумал что уж больно легкая подстава.

> Да пригодна, завтра приду выложу скан той машины, там Дебиан с кучей сервисов + анонимный фтп (правда без права записи) вот поэтому я и подумал что уж больно легкая подстава.

Не понял. Это Линукс то пригоден в качестве зомби? Что-то слабо верится.
Ибо говорит мне nmap человеческим голосом "Idle scan zombie X port Y cannot be used because IP ID sequencability class is: Randomized. Try another proxy." И так со всеми Линуксами.
Реквестирую вывод sudo nmap -sI <zombie-host>:<zombie-open-port> google.com

Хм, ты хочешь сказать что использовать Linux в качестве зомби-хоста невозможно и следовательно морду надо бить именно админу этого сервера с демьяном? Вывод nmap сейчас показать не могу, буду на работе отпишу.

Забавно :-) мой slackware сервер атаковал хост с Debian. прямо таки святая война какая то :-)

Погонял на тестовой подсетке. Линух (демьян стейбл и центос 5.4 без фаерволов) в качестве зомби заюзать не получилось. Возможно, я просто не умею их готовить.
В то время как винда (хрюша без фаервола) зомбируется только в путь.

это радует, теперь без тени сомнения можно бить демьяновца валенком по лицу.

Ну, для полной уверенности рекомендую все-таки попробовать прозомбировать его и просканить тот же гугл (или еще кого-нибудь), как советовали выше.

Впрочем, скорее всего это просто хостинговая машинка, на которую через дыру в цмске или ворованный пароль от фтпшника залили какую-нибудь дрянь.

Кстати, тут недавно одного моего знакомого фряшника так ломанули :) Сидел через путти и тотал-фтп с винды. В результате в логах фтп появились успешные операции с его логина и с левых айпи. Сейчас он разбирается, успели ли они залить шелл-код и/или стыбзить рутовый пароль.

Ссылка по теме зомби-скана: http://nmap.org/book/idlescan.html

>Возможно ли определить сетевой сканер-брутфорсер в логам по применяемому словарю? И в частности интерессует может ли XSpider сканить через зомби-хост?
нет, да :)

его часом не iZEN зовут? :)

>его часом не iZEN зовут? :)

Нет. В отличие от изена, он гонял фряху на реальной машине, а не в вмвари под вистой.
Впрочем, сути это не меняет. Фанаты фри такие фанаты :)