Il giorno 04/dic/08, alle ore 18:20, Marco Gaiarin ha scritto:
É una settimana e passa che c'è un bellissimo attacco a dizionario
distribuito su ssh verso i firewall che gestisco.
Non è la prima volta, e so che mi basterebbe spostare porta o fare
port-knoking per risolvere la questione (per ora ho solo aggiunto un
rate limit via iptables e con la configurazone di ssh).
La cosa che non mi torna è che normalmente questi attacchi erano
distribuiti uniformemente tra le mie ADSL di lavoro (Telecom), di casa
(Infostrada) e di alcune associazioni (BT/Albacom), e duravano al
massimo un weekend, poi venivano segate.
Questa dura da oltre una settimana, quasi due, è arrivata alla lettera
k ma soprattutto la vedo solo ed esclusivamente sulle ADSL telecom, le
altra hanno avuto un timido inizio e poi basta.
Sembra essere un problema alquanto diffuso di recente:
http://asert.arbornetworks.com/2008/12/distributed-ssh-brute-force-attacks/
Nel post vengono peraltro consigliate delle blacklist, dacci
un'occhiata. Segnalare gli attacchi ad un qualsiasi tipo di autorità
di solito non sortisce molti effetti, soprattutto se si tratta di
enormi botnet. Diverso è il caso di qualche script kiddie isolato e
fai da te.
Sul perché sembri affliggere, nel tuo caso, solo le ADSL Telecom non
saprei.. O è un caso temporaneo, oppure gli altri operatori che usi
hanno dei filtri migliori. Per supposizioni migliori ci vogliono
maggiori dettagli.
Saluti,
Alberto Trivero
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
