มีคน พยายาม ยิงเข้าทาง ssh แบบนี้ ทำไงดีครับ

จริงๆ มัน ยิง มั่วมาเยอะกว่านี้นะครับ
แบบเรามีทางกันได้ ไหม ผม เมล์ ไปคุยไปหา เจ้าของ ip แล้ว
ไอ้การยิง มั่ว password แบบนี้ เค้ามี program ใช่ไหมคับ
แล้วเรามีทางกันได้ไหม

http://whois.sc/69.20.57.55

Oct 3 20:30:17 dbms sshd(pam_unix)[9654]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=69.20.57.55 user=root
Oct 3 20:30:22 dbms sshd(pam_unix)[9657]: check pass; user unknown
Oct 3 20:30:22 dbms sshd(pam_unix)[9657]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=69.20.57.55
Oct 3 20:30:26 dbms sshd(pam_unix)[9660]: check pass; user unknown
Oct 3 20:30:26 dbms sshd(pam_unix)[9660]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=69.20.57.55
Oct 3 20:30:32 dbms sshd(pam_unix)[9663]: check pass; user unknown
Oct 3 20:30:32 dbms sshd(pam_unix)[9663]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=69.20.57.55
Oct 3 20:30:36 dbms sshd(pam_unix)[9667]: check pass; user unknown

ถ้าเราชัวร์ว่า password ไม่อยู่ใน dictionary ก็ปล่อยมันก็ได้ครับ

แต่ถ้ารำคาญ แนะนำให้เปลี่ยน port ssh จาก 22 เป็นอย่างอื่น

/etc/ssh/sshd_config

ค่าที่ต้องเซตคือ
PermitRootLogin no

ครับ อาจลดการโจมดี สำหรับพวกยิงมามั่วๆ
แต่ถ้าจงใจ เปลี่ยน port มันก็ scan ได้

แต่อย่างที่คุณ iCeZ บอก ถ้า passwd แน่น ก็ไม่ต้องกลัว

http://www.portknocking.org/

definition

Broadly, port knocking describes communication in which information arrives encoded in the form of connection attempts to closed ports, in which the port sequence forms the encoding, and acts as an event trigger on the receiver’s end. The receiver does not return a receipt to the sender during this transaction.

In one instance, port knocking refers to a method of communication between two computers (arbitrary named here client and server) in which information is encoded, and possibly encrypted, into a sequence of port numbers. This sequence is termed the knock. The server initially presents no open ports to a public network and is monitoring all connection attempts. The client initiates connection attempts to the server by sending SYN packets to the ports specified in the knock. This process of knocking is what gives port knocking its name. The server offers no response to the client during the knocking phase, as it “silently” processes the port sequence. When the server decodes a valid knock it triggers a server-side process.

The definition of a valid knock is arbitrary, and up to the implementer. The server-side process is also arbitrary, and up to the implementer. The trigger may result in dynamic modification of firewall rules or other administrative system events.

Brief

Port knocking is a method of establishing a connection to a networked computer that has no open ports look up ports on webopedia.com look up ports on FOLDOC. Before a connection is established, ports are opened using a port knock sequence, which is a series of connection attempts to closed ports. A remote host generates and sends an authentic knock sequence in order to manipulate the server’s firewall look up firewall on webopedia.com look up firewall on FOLDOC rules to open one or more specific ports. These manipulations are mediated by a port knock daemon, running on the server, which monitors the firewall log file for connection attempts which can be translated into authentic knock sequences. Once the desired ports are opened, the remote host can establish a connection and begin a session. Another knock sequence may used to trigger the closing of the port.

ก็ทำอย่างคุณ ice ว่านะครับถูกแล้วให้ root ไม่สามารถลอ็กอินแบบว่า root ได้โดยตรง แต่ให้ root เข้าเป็น user ก่อนแล้วค่อย sid เป็น root จะเพิ่มความปลอดภัยขึ้นอีกระดับหนึ่ง

แบบนี้โดนกันทั่ว หน้า ผมก็ โดนอ่า…สแกน อยู่นั่น แหล่ะ…