[Outofthebox] ssh login attempts

[sand]

Stefano Chiccarelli wrote:
>>-----BEGIN PGP SIGNED MESSAGE-----
>>Hash: SHA1
>>
>>Che e' sta roba che va' scannado di continuo con utenze ssh cpn database
>>di nomi anche MOLTO italiani?

Oramai e' un bel po' che "succedono" questi bruteforce su ssh, ma i 
login italiani ancora non li avevo visti...

>>Io non ho tempo di vivere in questo periodo me vedo OVUNQUE tentativi di
>>questo genere chi ne sa' di piu' e mi fa' un riassunto?

Cercano account con password semplici, una tecnica vecchia come il 
cucco, niente di nuovo :)

Articolo in ing: 
http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/

sliver at olografix.org wrote:
[...]
> vabbhe.. in sintesi cmq sono molto fastidiosi... per evitarli qualcuno sposta la porta ssh
> altri hanno modificato sshd per far si che dopo X login falliti inserisce una regola in iptables/pf per droppare l'ip..
> altri ancora usano script per monitorare i log e poi droppare via iptables/pf
> 
> voi che hai usato per evitare la cosa?:D

C'e' anche un'altra "soluzione", che consiste nell'utilizzare 
l'autenticazione tramite chiave e non password, ma penso che l'unica 
vera soluzione sia evitare le password stupide.
Io ho scritto un abbozzo di script per parsare l'authlog ed estrarre i 
brutti forzatori, ma penso che sia utile solo per creare un report... se 
sono kiddie o script automatici, molto probabilmente non torneranno mai.

http://www.spatof.org/ideuzze.txt <-

sand
-- 
Hi, I'm a .signature virus! Copy me to your .signature file and
help me propagate, thanks!