[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [NETVAERK] hackerforsøg



On Sun, 17 Apr 2005 23:05:46 +0200
Mogens wrote:

> Bjørn Fahnøe wrote:
> > Rettelse.
> > Det var indenfor en time ca. 3 pr sekund og med alle mulige
> > forskellige brugernavne
> > 
> > Den 17-04-2005 kl 21:50 skrev Bjørn Fahnøe:
> > 
> > 
> >> Jeg har i eftermiddag haft ca 2800 forsøg på at logge på min
> >> SSH-server indenfor ca 1 minut, hvorpå serveren gik ned.
> >> Hvad er meningen? Et forsøg på at hacke sig ind?

> Har jeg også set nogle gange, dog ikke med /så/ mange forsøg ;-
> Forsvandt efter jeg ændrede mine sshd til porte i 20-30000
> området.

Hvis du kører med netfilter og ikke vil degradere performance,
så er det bedste at sætte en regel ind tidligt i kæden af regler,
hvor du dropper pakker fra det ip-nummer som overflower din maskine.

Der er sikkert andre end mig, som er plaget af forsøg på overflow
på port 135 (epmap). iplist -L -v viser, at der har været 105000
forsøg på at få adgang. De er dog stoppet nu, men jeg har ikke 
fjernet filteret endnu (det er kun ca. en enkelt CPU instruktion for
hver pakke.)

Lidt længere nede kan du se, at jeg på et tidspunkt har lukket
for nummer 213.41.99.43, fordi jeg blev oversvømmet med pakker
fra den. Det er ærgeligt, men nødvendigt at holde øje med en
maskine der står på nettet med offentlig adgang.

 pkts bytes target     prot opt source               destination
 105K 5023K DROP       tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:135 
    0     0 DROP       tcp  --  0.0.0.0/0            0.0.0.0/0          tcp dpt:4444 
    0     0 DROP       udp  --  0.0.0.0/0            0.0.0.0/0          udp dpt:69 
    0     0 DROP       all  --  213.41.99.43         0.0.0.0/0          
 445K  589M ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:80 

[Der er klippet lidt i listning for at gøre den smallere]

Venlig hilsen
-- 
donald_j_axel donax snabela get2net.dk -- http://d-axel.dk/


 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 22:43 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *