Izkušnje z prijavljanjem poizkusov vdora

[SoLoR]

Zanima me če ima kdo kake izkušnje z prijavljanjem poizkusov vdora ali to privede samo do pošiljanja logov okoli par mailov in se nakoncu nič ne zgodi? Ker če je tako kot si jaz predstavljam mi dol visi, sam rad bi te "pametnjakoviče" zafrknu

1. pametnjakovič poizkušal shackati SSH servis z bruteforcanjem - http://freeweb.t-2.net/solor/current - IP: 80.188.16.105 - nek češki IP

2. pametnjakovič poizkušal shackati apache servis z bruteforcanjem phpmyadmina: http://freeweb.t-2.net/solor/access_log - IP: 82.92.50.39 - nizozemski XS4ALL ip resolva se v a82-92-50-39.adsl.xs4all.nl kar pomeni da je idiot to delu od doma... bi bilo zanimivo da bi mu kaka policija potrkala na vrata


uglavnem če se to splača kam pošiljat (pa kam) kar na dan z besedo... čehi pomoje ne bodo nič naredil, nizozemci pa mogoče bi!

[dal]

- nizozemski XS4ALL ip resolva se v a82-92-50-39.adsl.xs4all.nl kar pomeni da je idiot to delu od doma... bi bilo zanimivo da bi mu kaka policija potrkala na vrata

Koliko tisoč evrov škode so ti povzročili?

Zakaj imaš servise na privzetih lokacijah (portih / imenikih)?

[SoLoR]

- nizozemski XS4ALL ip resolva se v a82-92-50-39.adsl.xs4all.nl kar pomeni da je idiot to delu od doma... bi bilo zanimivo da bi mu kaka policija potrkala na vrata

Koliko tisoč evrov škode so ti povzročili?

Zakaj imaš servise na privzetih lokacijah (portih / imenikih)?

nic, gre se za princip to je drugac domaci router, linux box, ki sluzi kot router/firewall in mini server za razne stvari (lan server, osebni mail/www/ftp server), sicer je trenutno firewall cez vse te porte dokler se ne odlocim kaj bom... glede default portov jah nalazje je ce je servis dostopen preko default porta... fora je da z known bugi da mi kaj sheckajo je moznost zelo majhna, ker sem obseden z updatanjem (VSAJ 1x na dan kdaj 2x) tukaj se gre za princip zato pa pravim skode itak ni bilo nobene, samo vem kako te razmislajo (eh bil sem end od teh 10 let nazaj...) in glaven problem je... potencialno da ti uspejo vdret, dobijo malo starejsi linux box na 10mbit liniji in s tem se komot spravijo vdirat kaj bolj pomebnega, povzocijo kako skodo in na koncu bom kriv seveda jaz, ker sem to dopustil to je glavni problem...

[gr]

SSH poskusi so delo črva - IP, s katerega ugiba gesla, je okužen strežnik, ne pa naslov hackerja. Jaz sem nekaj časa o okuženih IP-jih obveščal lastnike domen + njihove ISP-je, potem sem se pa naveličal. Zdaj imam po večini urejeno tako, da z iptables dovolim 3 poskuse povezave na minuto in onemogočim IP za nekaj časa, če poskuša večkrat. Od prejšnjih 1000+ poskusov se je število poskusov normaliziralo na 3 poskuse/IP.

Tudi web napadi najverjetneje prihajajo z okuženega strežnika - dvomim, da bi te nizozemski osnovnošolci hoteli pohekat. Če phpmyadmin uporabljaš ga najlažje zaščitiš tako, da preimenuješ njegov symlink in/ali dodaš .htaccess pravila. Če ga ne uporabljaš in ga nimaš niti instaliranega pa naj te poskusi vdorov ne skrbijo.

edit: Pozabil - na približno tretjino prijav se je nekdo odzval in težavo odpravil.