[linux-l] Portscanner

Benjamin Schieder blindcoder at scavenger.homeip.net
Fr Okt 7 18:02:09 CEST 2005


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Wilhelm Dolle wrote:
> Hola,
> 
> Benjamin Schieder wrote:
> 
>> On Fri, Oct 07, 2005 at 02:32:50PM +0200, Olaf Radicke wrote:
>>
>>> In unregelm??igen Abst?nden werden meine Ports gescannt und
>>> minutenlang versuch sich per ssh einzuloggen. Das von Trotteln, die
>>> selber (scheinbar 
>>
>>
>> Gegen diese ssh logins hilft:
>> http://shellscripts.org/project/sshblock
> 
> 
> Das ist nicht wirklich Dein Ernst, oder? Ich zitier mal aus dem Wiki zu
> dem Programm:
> 
>   Using this script and iptables/at you can block them when there
>   have been more than 10 failed attempts from an IP."
> 
> Ich fake also Deine IP, logge mich 10 Mal erfolglos ein und Dein
> ssh-Server sperrt dann Deine IP ueber iptables.

Nach allem was ich weiss ist es nicht wirklich einfach, eine IP Adresse zu
faken, so dass das hinterher so aussieht als haettest du 10 falsche
Loginversuche an die gefakete Adresse gemacht. Dazu musst du den gesamten
Verbindungsaufbau und die gesamte fehlgeschlagene Loginprozedur 10 mal faken.
Aber bitte, ueberzeuge mich eines besseren. Das script laeuft auf
scavenger.homeip.net.

>   If there has been no attempted login within an hour, the IP is
>   removed and has 10 attempts again.
> 
> Also bau ich das also Script und lasse es jede Stunde laufen.

Wie meinen?

>   If a login is successful, the IP is also removed.
> 
> Dazu kommst Du dann ja nicht mehr, da Dir iptables den Zugang zu Deinem
> Rechner versperrt.

Siehe oben.

> Gegen ssh-Logins hilft eine aktuelle Konfiguration/Installation und ein
> gutes Passwort bzw. gute Keys.

Das Ding da oben *zeig* ist nicht dazu gedacht, Logins abzuwehren sondern die
Dictionary/Bruteforce Angriffe auf Accountnamen zu blockieren.
Andere Alternativen waeren ein sleep(10); im ssh source der fuer
Passwortauthentifizierung zustaendig ist. Das nimmt den Angreifern ebenfalls den
Wind aus den Segeln.

Gruesse,
	Benjamin

- --
  ____  _        _    ____  _   _ _ _____ __  __
 / ___|| |      / \  / ___|| | | ( ) ____|  \/  |
 \___ \| |     / _ \ \___ \| |_| |/|  _| | |\/| |
  ___) | |___ / ___ \ ___) |  _  | | |___| |  | |
 |____/|_____/_/   \_\____/|_| |_| |_____|_|  |_|
 play online: telnet://slashem.crash-override.net
 view scores: http://slashem.crash-override.net
 watch deaths: irc://irc.freenode.net#slashem
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFDRpwA7Wabow2Um2YRAnhsAKCEDxy8ImqWj2YfISdseAnj8IURoQCfR/Te
Tc6WpX3KFfDOknwZrnyg7as=
=1rQ6
-----END PGP SIGNATURE-----



Mehr Informationen über die Mailingliste linux-l