LINUX.ORG.RU
решено ФорумTalks

Какеры и брутфорс.

 ,


0

2

Посмотрел сейчас логи роутера, почти круглые сутки долбятся с разных ip по ssh.
Вот и возник вопрос, а почему их не ловят? Видно же откуда ломятся.
Неужели этим никто не занимается?

★★★★★

Ограничить число неудачных входов до забана и забыть.

Sadler ★★★
()
Последнее исправление: Sadler (всего исправлений: 1)
Ответ на: комментарий от kerneliq

Не со своих же компов лезут... Проверь их nmap'oм.

frozenix ★★★
()
Ответ на: комментарий от kerneliq

Низзя. Швабодка. В интернете можно только форсить выгодное некоторым организациям мнение, под видом общественного.

В идеале это целый протокол новый нужен, вида «с тебя льётся мусор с такого-то IP, заблочь и передай дальше по цепочке» и флудильщик затыкается на ближайшем провайдере.

yu-boot ★★★★★
()
Ответ на: комментарий от xtraeft

а почему мыльному спаму «никто не мешает»?

Где-то читал, не у нас, взяли за задницу одного такого. Оправдали тем, что нашлись люди, которым эти рассылки были полезны, они там нашли те товары/услуги, которым им были желательны, и в таком духе.

Ну и есть решение проблем неофициальными способами, man «центр американского английского».

yu-boot ★★★★★
()

Кому это нужно? Отделу К что ли - не смеши. Кроме того, состава преступления нет, у тебя ничего не свиснули, на деньги не нагрели, ущерба не нанесли, а посему у тебя даже заявление не примут. Это как в полиции «как трупы будут, приедем, а пока пусть дерутся».

makeB
()
Ответ на: комментарий от yu-boot

Где-то читал, не у нас, взяли за задницу одного такого.

взяли, но спам то жив до сих пор. пока он будет эффективен и будет приносить деньги - он будет жить.
мир несправедлив

xtraeft ★★☆☆
()
Ответ на: комментарий от yu-boot

В идеале это целый протокол новый нужен, вида «с тебя льётся мусор с такого-то IP, заблочь и передай дальше по цепочке» и флудильщик затыкается на ближайшем провайдере.

круто, тогда даже ддосить не надо будет - собрал 10 друзей и начал банить неугодные сервера

xtraeft ★★☆☆
()
Ответ на: комментарий от makeB

Это как в полиции «как трупы будут, приедем, а пока пусть дерутся».

После N звонков от жильцов приезжают и грузят пьянь под окнами - проверено. Хотя вроде бы тоже никаких убийств и терактов.

yu-boot ★★★★★
()
Ответ на: комментарий от xtraeft

круто, тогда даже ддосить не надо будет - собрал 10 друзей и начал банить неугодные сервера

Только друзья должны быть операторами, желательно национального уровня.

yu-boot ★★★★★
()
Ответ на: комментарий от kerneliq

Форум Русский, так что твоя иностранность мне безразлична ровно до тех пор, пока ты явно не укажешь, о какой стране речь.

makeB
()
Ответ на: комментарий от kerneliq

Ты писал о ловле кибер-преступников, точнее кто их должен ловить, писал это на русском форуме, не обозначив конкретную страну, следовательно речь была о российских п-органах.

makeB
()
Ответ на: комментарий от kerneliq

Преступников ловит полиция. Для этого должно произойти преступление. Является ли преступлением попытка залогиниться? Чьим преступлением? Кто пострадавший? Какого рода ущерб нанесён? Написал ли он заявление? Под чьей юрисдикцией находится атакующая машина, атакуемая машина и пострадавший?

Legioner ★★★★★
()
Ответ на: комментарий от kerneliq

Да я уже заметил твой «огромный» интеллект.

makeB
()
Ответ на: комментарий от Legioner

Преступников ловит полиция.

Кибер-преступлениями полиция не занимается, по крайней мере в россии и сша, для этого есть спец-отделы, так как преступления эти высоко-технологичные, требующие соответствующих оперативников.

makeB
()
Ответ на: комментарий от Legioner

А разве это не попытка взлома? Может поставить сервачок и отслеживать действия? Будет ip и все действия.

kerneliq ★★★★★
() автор топика
Ответ на: комментарий от kerneliq

Будет ip и все действия.

И кому эти ip нужны? Откуда уверенность что пойманный ip не всего лишь участник зомбо-сети хакера?

makeB
()
Ответ на: комментарий от kerneliq

А разве это не попытка взлома? Может поставить сервачок и отслеживать действия? Будет ip и все действия.

Для этого на всякой сетевой аппаратуре можно задать баннер, писанину вида «Вы пытаетесь залогиниться на сервер компании N. Доступ запрещён, кроме сотрудников компании N. Отключитесь немедленно.».

Были случаи, когда не удавалось привлечь хацкеров именно из-за отсутствия этой строчки, всегда можно сказать что он «не знал» и просто игрался.

yu-boot ★★★★★
()
Ответ на: комментарий от kerneliq

Возникает слишком много спорных и сложных вопросов. Окей, поставил ты сервачок, залоггировал, что к нему подобрали пароль, залили спамбота и шлют спам/заражают таких же. Взял айпи, пробил, это оказался какой-нибудь впс на каком-нибудь хецнере, на котором крутится мелкий никому не нужный сайт. Естественно этот сервер был взломан точно так же, а почтенная австралийская фирма-владелец сайта, разводящая кенгуру никакого отношения к вирусу не имеет и вообще про сайт с трудом вспомнила. Чего дальше делать?

Legioner ★★★★★
()
Ответ на: комментарий от kerneliq

Я так скажу: не знаю как в других странах, а в россии, пока не нанесен ущерб (материальный, моральный, физический, психологический) и ущерб этот не зафиксирован бумагами, заявление конечно примут, но отнесут его прямо в помойку. Кстати на материальный есть даже фиксированная такса, если память не изменяет, то около тысячи рублей.

makeB
()

За что ловить-то? Ты сам в интернет свой сервер выставил? Доступ кому угодно открыл? Вот, пожинай.

stevejobs ★★★★☆
()
Ответ на: комментарий от Legioner

Чего дальше делать?

Как минимум оттуда уже ничего литься не будет.

Телефонных хулиганов тоже через милицию не всегда ловят далеко, однако отгородиться от них всегда можно. Главное узнать, кому номер физически принадлежит и не постесняться туда позвонить и попросить прекратить звонки. Дальше уже найдут крайнего или просто перестанут этот номер роутить. Тут это в ручном режиме прокатывает, так как число событий и участников маленькое, да и случается такое нечасто.

yu-boot ★★★★★
()
Ответ на: комментарий от Legioner

Ну хоть сайт починят, а то и не знают поди что их поломали.

kerneliq ★★★★★
() автор топика
Ответ на: комментарий от Legioner

Так блин, мне-то зачем? :) Не я ж спрашивал :)

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

В идеале это целый протокол новый нужен, вида «с тебя льётся мусор с такого-то IP, заблочь и передай дальше по цепочке» и флудильщик затыкается на ближайшем провайдере.

Кстати, а в RFC ничего по этому поводу не пробегало? Хотя, такой протокол можно использовать и во зло.

alman ★★★
()

Неужели этим никто не занимается?

Люди думают как на еду заработать и как взять квартиру в ипотеку.
А такие мелкие проблемы, как перевешивание sshd на другой порт + fail2ban - мелочь по сравнению с первыми.

pacify ★★★★★
()

Это боты-роутеры же.

Зато можно поставить хонейпот, наловить паролей и заиметь несколько надёжных прокси :<

Q3164
()
Ответ на: комментарий от Spirit_of_Stallman

fail2ban + недэфолтный порт -> можно больше не заморачиваться.

Можно и на дефолтном с fail2ban не заморачиваться.

Reaper ★★
()
Ответ на: комментарий от kerneliq

Ну и отлично. Одним участником меньше. Пусть с ним провайдер разбирается.

Ты просто не представляешь масштабов использования ботнетов. Там миллионы компьютеров в крупных сетях и отсутствие переспектив добраться до места, откуда оно управляется.

Reaper ★★
()
Ответ на: комментарий от kerneliq

соединение на 22й порт доступно кому угодно абсолютно без всяких паролей. Интернет так зделан, что там нету ограничений доступа.

stevejobs ★★★★☆
()
Последнее исправление: stevejobs (всего исправлений: 1)

Так займись.

Правило iptables пишется за пару минут.

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 600000 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP 

Т.е. разрешено 2 попытки в час. Иначе блочим нафиг. Через 600 000 мс бан протухает

kombrig ★★★
()
Последнее исправление: kombrig (всего исправлений: 3)
Ответ на: комментарий от BambarbiyaKirgudu

dec/16/2012 17:36:27 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:31 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:33 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:37 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:39 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:43 system,error,critical login failure for user root from 211.155.229.103 via ssh

kerneliq ★★★★★
() автор топика
Ответ на: комментарий от yu-boot

Спасибо, это мы уже имеем в виде спамхауса

leave ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.