Skocz do zawartości
Zaloguj się, aby obserwować  
robson345

Zmasowany atak brute force

Polecane posty

Witam, czy ktoś odnotował w przeciągu kilku ostatnich dni ataki z botnetów na swoje maszyny metodą brute force? Pytam się czy to jakaś masowa akcja czy po prostu mam takie szczęście. Chodzi o maszyny ulokowane w Polsce.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ja mam średnio kilka ataków na dzień. Ostatnio 151.237.177.110 stał się strasznie natarczywy, 4tą blokadę wyrwał, na następny miesiąc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wczoraj miałem około 120 ataków z Chin na jeden serwer, ale szybko firewall załapał i 120 adresów zostało zablokowane, większość ataków z 222.186.*.*, 117.21.*.* i 111.74.238.* - wczorajszy dzień to wyjątek, zazwyczaj to kilka dziennie.

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zgłaszacie abuse?

Chińczykom? : D

 

Na nas też leciały wczoraj co jakiś czas ataki, ale IPS/IDS szybko wychwyciły.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ogólnie normą jest że czasami zdarzają się ataki, ale tak jak pisze NetMan wczoraj i dzisiejszej nocy to było jakieś apogeum. Sprawdziłem kilkanaście adresów i większość to ataki z Peru i Taiwanu. Zastanawiam się nad zmianą portu dla poczty bo tylko dla niej mam ustawienia defaultowe i tylko na nią dolatują ataki.

 

Zgłaszacie abuse?

 

Nie ma komu zgłaszać tym bardziej że większość to ataki z prywatnych niezabezpieczonych komputerów wpiętych w czyjegoś botneta.

 

 

2014-07-03 04:25:21 login authenticator failed for (daniel-PC) [190.238.104.45]: 535 Incorrect authentication data

2014-07-03 02:06:47 plain authenticator failed for (PABLO) [190.234.105.65]: 535 Incorrect authentication data

2014-07-02 23:04:12 login authenticator failed for (computer6) [182.180.81.134]: 535 Incorrect authentication data

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zgłaszacie abuse?

 

Leci automat, csf ma więcej funkcji niż się niektórym wydaje. Ale dostaję odpowiedzi, że ktoś się tym zajął średnio w 1 na 100 zgłoszonych.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zależy na jakim poziomie, generalnie to ja używam:
HIDS: ossec
NIDS: suricata.

Ostatnio ktoś mi sporo dobrego opowiadał o Bro IDS, więc w wolnej chwili pewnie usiądę do testów. ; )

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A np. Snort?

 

Generalnie na poziomie samego serwera.

Najlepiej jakby miał możliwość jakiegoś podglądu centralnego, aby na każdym serwerze nie sprawdzać osobno, tylko na jednej stronie/jakimś panelu.

Edytowano przez Desavil (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

CSF jako firewall, jak nie wystarcza można dorzucic fail2bana z własnymi regułkami (chociażby dla nginxa), a jak i tego za mało kernel można skompilować z grsecurity i nic więcej nie potrzeba.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×