tirsdag 8. desember 2009

Brute-force ssh angrep...

Litt gøy å følge med på et brute-force ssh angrep som pågår mot serveren hjemme akkurat nå. Oppsettet mitt er slik at etter 3 mislykkede forsøk blir IP-adressen blokkert i litt over en uke, samtidig som jeg mottar en mail om hva som har skjedd. Normalt mottar jeg en til to slike mail hver dag, men i dag kom det plutselig flere hver time.

Nysgjerrig som jeg er så måtte jeg selvsagt sjekke loggene mine. Her er et utdrag fra filen som inneholder mislykkede innloggingsforsøk (/var/log/auth.log) - og det jeg har plukket ut er tidspunkt, brukernavn som er forsøkt og hvilken maskin det kom fra:
Dec  8 15:57:58 - bob - bzq-62-219-4-102.static.dcenter.bezeqint.net
Dec 8 16:03:09 - bobby - 135.196.243.201
Dec 8 16:05:29 - bob - 80.169.105.159
Dec 8 16:10:15 - bogdan - mail.atkft.hu
Dec 8 16:37:28 - brenda - host132-57-static.105-82-b.business.telecomitalia.it
Dec 8 16:40:51 - abuse - static-217-133-94-17.clienti.tiscali.it
Dec 8 16:47:19 - brett - 58.247.222.163
Dec 8 17:14:15 - browser - p50993b1c.dip0.t-ipconnect.de
Dec 8 17:16:36 - bruno - mt1.magicwisp.com
Dec 8 17:26:41 - bsf - 196.211.112.186
Dec 8 17:50:41 - ca - p50991a89.dip0.t-ipconnect.de
Dec 8 18:03:11 - caixa - mail.medprax.co.za
Dec 8 18:10:08 - calendar - 83-65-46-117.krugerstrasse-krems.xdsl-line.inode.at
Dec 8 18:35:10 - carina - 177.71.233.220.static.exetel.com.au
Dec 8 18:57:10 - carolina - mail.cuscatlan.net
Dec 8 19:02:07 - caroline - 220.162.241.11
Dec 8 19:04:36 - caroline - ip-191-19.sn2.eutelia.it
Dec 8 19:09:36 - carolyn - 201.227.239.11
Dec 8 19:14:43 - carsten - r200-40-80-34.ae-static.anteldata.net.uy
Dec 8 19:16:49 - case - 203.197.128.205
Dec 8 19:21:58 - cassie - 196.211.189.210
Dec 8 19:24:13 - cast - mx.unsam.edu.ar
Dec 8 19:26:32 - catalina - 108.48-78-194.adsl-static.isp.belgacom.be

Hehe... det vi ser her er at et bot-nett brukes for å systematisk gå gjennom en serie med brukernavn, og de gjør det forholdsvis sakte for å unngå deteksjon. Et par minutter mellom hvert forsøk, og en god del lengre mellom hver gang samme maskin kommer tilbake med nytt forsøk.

I skrivende stund har jeg registrert 304 forsøk, og det skal bli spennende å se hvordan dette utvikler seg videre.