Passa ai contenuti principali

Post

Visualizzazione dei post da dicembre, 2008

Nuovo trend per gli attacchi ssh

Io me ne sono accorto solo oggi, non saprei dire se fino ad ora non mi avevano individuato o se si tratti di una nuova tipologia di attacco. Fatto sta che fino ad ora gli attacchi per accedere ad un server ssh arrivavano da un'unica macchina quindi bastava usare un semplice programma come sshguard o simili per bloccare gli ip che facevano troppi tentativi errati in breve tempo. Oggi ho notato che sono sottoposto ad un attacco brute force distribuito, mi arrivano tentativi di accesso da centinaia di ip diversi e ogni ip fa un solo tentativo ma analizzando il log salta subito all'occhio che i tentativi sono sequenziali mi ritrovo infatti una situazione del genere Dec  2 15:30:13 odino sshd[28795]: Invalid user herbert from 121.33.199.37 Dec  2 15:32:46 odino sshd[28824]: Invalid user herbert from 121.200.64.152 Dec  2 15:37:44 odino sshd[28873]: Invalid user herbst from 62.61.141.93 Dec  2 15:40:07 odino sshd[28920]: Invalid user herbst from 81.149.101.27 Dec  2 15:42:39 odino ss