[nexus]

Päev läbi kraabib mu võrguketta ukse taga miski moldovaanin.
Kas on vaja mingeid samme astuda?
Või on see tavaline nähe?

[airm]

Selleks on tulemüür, mis vastavad paketid minema musta auku saadab.

[nexus]

Kasutajanimed, mida hetkel proovitakse:
sysadmin, access, spam, backup, postmaster, info, garage, teste, netgear1, demo, Admin, pass123, admin, qwerasdf, 1q2w3e, qwerty, 12345678, welcome, admin123, User 1, abascus, User 123, password, User 123456, setup, orange, null, apple, dave, administrateur, test, administrador, jne

IP aadress 174.142.192.219

Canada

[Dirty Harry]

Kui on viitsimist tegeleda rohkem siis saada vastavale ISP'le kiri, et nad tüübi korrale kutsuksid. abuse@isp.domeen on tüüpiliselt see mailiaadress. Ma ei ole küll Kanada ja Moldovaga kursis kuid vähemalt Eesti suuremad teenusepakkujad vaatavad küll turvaintsidendid üle, pahalastega võetakse ühendust ja algul palutakse ilusti selline tegevus lõpetada. Kui ei lõpeta siis on ka radikaalseimaid viise korrale kutsumiseks.

http://www.ipillion.com/ip/174.142.192.219

[HacaX]

Kas nende abuse meiliaadresside kasutamine mõttetu ajaraisk ei ole? Arvestades seda kui paljud arvutid tänapäeval zombiestatud ja/või auklikult konfitud on (teisisõnu: kui suur on tõenäosus, et selle IP taga on reaalne pahalane, mitte pole tegemist proxyna toimiva masina või siis programmiga, mis masinaomaniku teadmata ta raalist kräkerdab)?

[laurx]

OT kui mul masinas bulletproofiga tehtud server suvalise dyndns.org aadresiga jooksis, sattus päris tihti keegi seda "haamerdama". mul oli seade tehtud nii, et peale mingit hulka proovimisi tüüp saadeti lihtsalt banlisti. logid olid naljakad kohati. peamiselt lõhkusid hiinakad ukse taga.

[Etz]

Ise leidsin, et kõige lihtsam viis neist igasugu "ukse taga kiibitsejatest" vabaneda, on konfida võrk nii, et isegi IP pingile ei vasta, peale seda kadusid nagu nõieväel ka igasugused SSH/FTP/Telneti ja muidu parooldie proovijad...

Õnneks kodus weebi ei jooksuta, nii et sellest on ka reaalselt mingit tolku.

Enamus tegelinskeid, olid tõesti kuskilt Hiinast, Indiast ja tont teab veel kust aasia riikidest.

Tegelikult, kõrvalmõjuna on mulle nüüd hiljuti Elion hakanud keskmiselt korra kuus helistama ja huvi tundma, kas mu teenustega ikka kõik korras on...
Kuna ruuter ei vastvat pingile, ligipääs neil puuduvat ja VoIP pole registreerunud...ehk siis oleks vaja mulle kindlasti "tasuline" tehnik saata, kes kõik üle kontrolliks...

[Dogbert]

Noh, vaata kui hästi hoolitsetakse klientide eest.

echo on muidugi esimene asi, mis kinni panna tuleks, kui külalisi ei oota. Teine elementaarne asi on teenuse jooksutamine ebatraditsioonilise pordi peal, kui see ei ole "avalik teenus". Tõsisemat urgitsejat see ei heiduta, aga mürgeldajate hulk väheneb märgatavalt. Ja kolmas on siis midagi fail2ban laadset, mis mõne korra eksinu vähemalt ajutiselt või siis püsivalt bännib.
Ja siis on muidugi veel ip2country listidega võimalik "väliskülaliste" ligipääsu piirata.

[mihkelv]

Ei saa kuidagi nõustuda, et pingile vastamise kinni keeramine hea lahendus oleks. Kuidas sa oma serveri siis üles leiad... hakkad mööda kaablit minema
Kõige mõistlikum lahedus oleks siiski tulemüüriga paketid ära keelata, nagu airm juba kirjutas.

[Etz]

[mihkelv]

Selleks, et kui teenused feilivad, siis saad teada, kas masin on üleval või mitte.
Aga alguses rääkisite te kogu echo reply keelamisest, nüüd siis juba võib sisevõrgus lubada ve
Ise kasutan iptablesi reeglit, mis lubab sisevõrgust piirangudeta pingida, väljast ainult 10 per minut.

[Etz]

[mihkelv]

[mahno]

Üks tore asi, mida selliste haamerdajate vastu teha saab on see, et peale x ebaõnnestunud logimiskatset kirjutatakse vastava ip jaoks route kuskile musta auku. Vastavalt fantaasiale kas permanentselt või mõneks ajaks (viimasest tegelikult piisab ja hoiab ruutingutabeli ka mõistliku pikkusega).

Haamerdaja jaoks näeb asi välja nii, et peale näiteks kolmandat paroolikatsetamist kaob haamerdatav tema jaoks nii ära, et ping ka enam ei vasta.

Kui välisriikidest pole vaja ligi saada, siis piira juurdepääs eesti ip ruumiga, eestisiseselt on sellist laamendamist suht vähe. Ja kui keegi ka hakkab lammutama, siis on isp lähedal ja pöördumine lihtne.

[Dogbert]

Üks huvitav lahendus, mis mulle seoses musta augu nimetamisega meelde tuli, on "tõrvaauk". Negatiivse poole pealt - kui haamerdajaid on korraga rohkem, võtab see masina ressurssi mingil määral, sest hoiab haamerdaja ühendust "kinni" (n-ö tõrva sees).
Jutt on siis IP-taseme tarpit-ist, mitte SMTP omast (teergrube on SMTP puhul palju laiemalt kasutusel kui IP-level tarpit).

http://en.wikipedia.org/wiki/Tarpit_%28networking%29

[napoleon]

Mina leidsin kangutajate vastu sellise rohu:
1. kui teenus ei pea kogu maailmale kättesaadav olema(nagu näiteks ssh,rdp jms.), on kasutusel port knocking
2. sellele lisaks jooksevad need teenused mittestandardse pordi peal
3. kui keegi standardset porti kangutada proovib, blokeeritakse see ip tunniks ajaks.

Tegelikult oleks see lahendus muidugi juba ilma port knockinguta suhteliselt hea, kuna suure tõenäosusega proovib kangutaja kõigepealt standardset porti ja portscani teeb siis, kui standardse pordi pealt midagi ei leia.

[estdata]