Io me ne sono accorto solo oggi, non saprei dire se fino ad ora non mi avevano individuato o se si tratti di una nuova tipologia di attacco.
Fatto sta che fino ad ora gli attacchi per accedere ad un server ssh arrivavano da un'unica macchina quindi bastava usare un semplice programma come sshguard o simili per bloccare gli ip che facevano troppi tentativi errati in breve tempo.
Oggi ho notato che sono sottoposto ad un attacco brute force distribuito, mi arrivano tentativi di accesso da centinaia di ip diversi e ogni ip fa un solo tentativo ma analizzando il log salta subito all'occhio che i tentativi sono sequenziali mi ritrovo infatti una situazione del genere
Un'alternativa che inizio a prendere in considerazione è l'utilizzo di un port knocker ma non so quanto sia portabile come soluzione.
Voi avevate già notato questo fenomeno ? Avete già sottomano qualche soluzione ?
Fatto sta che fino ad ora gli attacchi per accedere ad un server ssh arrivavano da un'unica macchina quindi bastava usare un semplice programma come sshguard o simili per bloccare gli ip che facevano troppi tentativi errati in breve tempo.
Oggi ho notato che sono sottoposto ad un attacco brute force distribuito, mi arrivano tentativi di accesso da centinaia di ip diversi e ogni ip fa un solo tentativo ma analizzando il log salta subito all'occhio che i tentativi sono sequenziali mi ritrovo infatti una situazione del genere
Dec 2 15:30:13 odino sshd[28795]: Invalid user herbert from 121.33.199.37Non sono preoccupato che possano accedere alla mia macchina, le mie policy di sicurezza mi fanno dormire sonni tranquilli davanti ad attacchi di questo tipo ma mi secca il riempimento dei log. Certo una whitelist di ip risolverebbe il problema ma mi trovo spesso a dover accedere da postazioni con ip dinamico.
Dec 2 15:32:46 odino sshd[28824]: Invalid user herbert from 121.200.64.152
Dec 2 15:37:44 odino sshd[28873]: Invalid user herbst from 62.61.141.93
Dec 2 15:40:07 odino sshd[28920]: Invalid user herbst from 81.149.101.27
Dec 2 15:42:39 odino sshd[28949]: Invalid user herbst from 64.213.54.106
Dec 2 15:45:08 odino sshd[28978]: Invalid user hercules from 201.218.231.142
Dec 2 15:50:11 odino sshd[29046]: Invalid user hercules from 202.71.216.126
Dec 2 15:52:55 odino sshd[29077]: Invalid user heremon from 165.228.181.30
Dec 2 15:55:11 odino sshd[29104]: Invalid user heremon from 221.4.104.101
Dec 2 15:57:42 odino sshd[29134]: Invalid user heremon from 217.96.70.66
Dec 2 16:02:52 odino sshd[29216]: Invalid user heriberto from 61.155.105.62
Dec 2 16:07:45 odino sshd[29265]: Invalid user herman from 98.119.110.139
Dec 2 16:10:08 odino sshd[29311]: Invalid user herman from 84.242.66.10
Dec 2 16:12:53 odino sshd[29342]: Invalid user herman from 200.118.119.48
Dec 2 16:15:14 odino sshd[29383]: Invalid user hermia from 60.191.111.234
Dec 2 16:17:47 odino sshd[29411]: Invalid user hermia from 88.62.90.211
Un'alternativa che inizio a prendere in considerazione è l'utilizzo di un port knocker ma non so quanto sia portabile come soluzione.
Voi avevate già notato questo fenomeno ? Avete già sottomano qualche soluzione ?
Commenti