Re: [ml] Martellamenti sulla 22...

Il giorno 04/dic/08, alle ore 18:20, Marco Gaiarin ha scritto:

> É una settimana e passa che c'è un bellissimo attacco a dizionario
> distribuito su ssh verso i firewall che gestisco.
> Non è la prima volta, e so che mi basterebbe spostare porta o fare
> port-knoking per risolvere la questione (per ora ho solo aggiunto un
> rate limit via iptables e con la configurazone di ssh).
>
> La cosa che non mi torna è che normalmente questi attacchi erano
> distribuiti uniformemente tra le mie ADSL di lavoro (Telecom), di casa
> (Infostrada) e di alcune associazioni (BT/Albacom), e duravano al
> massimo un weekend, poi venivano segate.
>
>
> Questa dura da oltre una settimana, quasi due, è arrivata alla lettera
> k ma soprattutto la vedo solo ed esclusivamente sulle ADSL telecom, le
> altra hanno avuto un timido inizio e poi basta.

Sembra essere un problema alquanto diffuso di recente:

http://asert.arbornetworks.com/2008/12/distributed-ssh-brute-force-attacks/

Nel post vengono peraltro consigliate delle blacklist, dacci  
un'occhiata. Segnalare gli attacchi ad un qualsiasi tipo di autorità  
di solito non sortisce molti effetti, soprattutto se si tratta di  
enormi botnet. Diverso è il caso di qualche script kiddie isolato e  
fai da te.
Sul perché sembri affliggere, nel tuo caso, solo le ADSL Telecom non  
saprei.. O è un caso temporaneo, oppure gli altri operatori che usi  
hanno dei filtri migliori. Per supposizioni migliori ci vogliono  
maggiori dettagli.

Saluti,

Alberto Trivero