форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"как реагировать на атаки?"
Сообщение от Сергей (??) on 11-Авг-04, 17:16  (MSK)
Есть сервак под лихнулом с реальным айпишником (ssh открыт наружу). Сейчас обнаружил, что на него пытались логиниться с какого-то мне совершенно не известного инетовского адреса. Пробовали залогиниться под учентыми записями guest, admin, test и все в таком духе. У них ничего не получилось. Но что делать с этим инцидентом? Как правильно и грамотно на него реагировать? Заранее большое спасибо за ответ!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "как реагировать на атаки?"
Сообщение от crash (ok) on 11-Авг-04, 17:26  (MSK)
>Есть сервак под лихнулом с реальным айпишником (ssh открыт наружу). Сейчас обнаружил, >что на него пытались логиниться с какого-то мне совершенно не известного >инетовского адреса. Пробовали залогиниться под учентыми записями guest, admin, test и >все в таком духе. У них ничего не получилось. Но что >делать с этим инцидентом? Как правильно и грамотно на него реагировать? > > >Заранее большое спасибо за ответ! разрешить ssh с определенных айпи
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "как реагировать на атаки?"
	Сообщение от pva (??) on 11-Авг-04, 17:35  (MSK)
	У меня тоже самое (т.е. пробуют под теми же юзерами залогиниться) + частенько начали пробовать root-ом влезть ! Может кто нить в курсе что происходит ? У меня на на нескольких серверах одинаковые попытки влезть по ssh ? Вирус имитирующий юзера который логинится через ssh ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "как реагировать на атаки?"
	Сообщение от denn (??) on 11-Авг-04, 17:44  (MSK)
	>У меня тоже самое (т.е. пробуют под теми же юзерами залогиниться) + >частенько начали пробовать root-ом влезть ! > >Может кто нить в курсе что происходит ? У меня на на >нескольких серверах одинаковые попытки влезть по ssh ? > >Вирус имитирующий юзера который логинится через ssh ? прову детально отпишите. есть четкий порядок регистрации попыток взлома.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "как реагировать на атаки?"
	Сообщение от Сергей (??) on 11-Авг-04, 17:47  (MSK)
	>прову детально отпишите. >есть четкий порядок регистрации попыток взлома. Своему прову отписывать? И что прову отписывать? Что за четкий порядок регистрации попыток взлома? Где про это можно почитать?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "как реагировать на атаки?"
	Сообщение от shaman (??) on 11-Авг-04, 17:45  (MSK)
	>У меня тоже самое (т.е. пробуют под теми же юзерами залогиниться) + >частенько начали пробовать root-ом влезть ! > >Может кто нить в курсе что происходит ? У меня на на >нескольких серверах одинаковые попытки влезть по ssh ? > >Вирус имитирующий юзера который логинится через ssh ? Скорее всего обычный сканер безопасности.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "как реагировать на атаки?"
	Сообщение от Сергей (??) on 11-Авг-04, 17:48  (MSK)
	>Скорее всего обычный сканер безопасности. Скорее всего. Но не оставлять же это без внимания! Неужели просто закрывать на это глаза?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "как реагировать на атаки?"
	Сообщение от Сергей (??) on 11-Авг-04, 17:45  (MSK)
	>разрешить ssh с определенных айпи Не вараинат. Я со своим ноутом слишком много где бываю, и эти айпишники не поддаются упорядочиванию. Так что же все таки делать? Кому жаловаться на это?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "как реагировать на атаки?"
	Сообщение от denn (??) on 11-Авг-04, 17:52  (MSK)
	>>разрешить ssh с определенных айпи > >Не вараинат. Я со своим ноутом слишком много где бываю, и эти >айпишники не поддаются упорядочиванию. > >Так что же все таки делать? Кому жаловаться на это? типа "такой-то клиент.. уведомляю вас о том что участились попытки...." и кусок лога с адресами временем... а админы прова уже(или потом:)) ответят...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "как реагировать на атаки?"
	Сообщение от Сергей (??) on 11-Авг-04, 17:53  (MSK)
	>типа "такой-то клиент.. уведомляю вас о том что участились попытки...." >и кусок лога с адресами временем... > >а админы прова уже(или потом:)) ответят... Ок. Спасибо. Попробую отправить такое мыло. Посмотрим, что скажут...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "как реагировать на атаки?"
	Сообщение от Grey on 11-Авг-04, 21:43  (MSK)
	>>>разрешить ssh с определенных айпи >> >>Не вараинат. Я со своим ноутом слишком много где бываю, и эти >>айпишники не поддаются упорядочиванию. >> >>Так что же все таки делать? Кому жаловаться на это? > > >типа "такой-то клиент.. уведомляю вас о том что участились попытки...." >и кусок лога с адресами временем... > >а админы прова уже(или потом:)) ответят... ... и админы прова прикроют соответствующие порты ... это устроит? или есть иные способы? посылать такое письмо вверх "по комманде"? и каков примерно будет результат?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "как реагировать на атаки?"
	Сообщение от shaman (??) on 12-Авг-04, 09:30  (MSK)
	Настроить IDS, например snort+snortsam или portsentry
		Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "атакующие IP"
Сообщение от Kirill (??) on 12-Авг-04, 09:27  (MSK)
Refused incoming connections:       203.251.225.23 (203.251.225.23): 10 Time(s)       202.8.254.4 (202.8.254.4): 89 Time(s)       61.222.175.146 (61.222.175.146): 40 Time(s) что характерно все IP не из постсоветского сегмента :) IMHO их провайдеры не будут вообще ничего делать
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.