----- Original Message -----
Nedavno jsem zde brecel nad tim, jak se v posledni dobe objevily
distribuovane bruteforce utoky, takze prijde jeden nebo dva pokusy z jedne
IP a pak dalsi az za par hodin. A byly toho plne logy.
Zkusil jsem na to jit od lesa a zda se, ze se to vyplatilo. Pouzival jsem
uz driv bruteblock ve spojeni s IPFW, proti kteremu jsou tyhle utoky
samozrejme imunni. Udelal jsem ale to, ze jsem si presmeroval authlogy ze
vsech serveru na router, protoze onen distribuovany utok vypadal tak, ze
dana IP adresa zautocila sice jen jednou nebo dvakrat na jeden stroj, ale
na vsechny sousedni IP prakticky soucasne. Diky tomu uz bylo tech
neuspesnych pokusu o prihlaseni vic a bruteblock opet zafungoval.
A aby to melo nejaky smysl - protoze dalsi utok se z dane IP objevil az po
nekolika hodinach, ustrihl jsem utocici IP ne na par minut (jak je to
defaultne), ale rovnou na cely tyden (chvili jsem premyslel nad tim, ze ji
ustrihnu rovnou na mesic :-) ).
Zacatek byl celkem drsny, za 24 hodin jsem mel zablokovanych cca 160 IP
adres a nocni security vypis z routeru byl jako roman na dlouhe zimni
vecery. Dnes, po mesici a pul, je realita takova, ze mam v tabulce
zablokovanych IP adres 12 zaznamu (za posledni tyden!!!) a nocni vypisy
authlogu jsou vlastne prazdne. Nevim, jestli soucasny mechanismus
blokovani odradil utocici servery nebo proste ty utoky obecne ustavaji.
Kazdopadne, ja jsem ted spokojeny a nijak dal bruteforce utoky nebudu ani
resit ani analyzovat. Nestoji mi to za to.
Mozna se mi to zda, ale skoro mam pocit, ze celej system utoku je nejak
sofistikovane organizovanej.
Mel jsem na jednom stroji trochu potize hardwaroveho charakteru a on byl
nekolik dnu nedostupnej.
Kupodivu na nej tyto utoky ustaly a uz nezacaly.
Jindra
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
