https://www.opennet.ru/openforum/vsluhforumID3/116899.html Представлен (https://nullprogram.com/blog/2019/03/22/) проект Endlessh (https://github.com/skeeto/endlessh), в рамках которого подготовлен простой фиктивный SSH-сервер, который пытается максимально долго удерживать установленные соединения открытыми на начальной стадии подключения к SSH-серверу. Endlessh может использоваться для затруднения работы различных вредоносных систем, постоянно перебирающих пароли. <br><br><br><br>Суть борьбы с данными системами в удержании одного соединения, не позволяя ему завершиться по таймайту, и, соответственно, временно блокируя проведения перебора для текущего хоста. Например, Endlessh можно запустить на 22 сетевом порту, а реальный SSH-сервер переместить на другой сетевой порт. Приложение обрабатывает лишь начальную стадию обмена данными, на этапе до аутентификации, поэтому очень просто в реализации и потребляет минимальные ресурсы в процессе работы.<br><br><br>Для предотвращения обрыва соединения по таймауту используется особенность протокола SSH, который допускает отправку сервером прои https://www.opennet.ru/openforum/vsluhforumID3/116899.html#104 Tue, 02 Apr 2019 05:43:09 GMT &gt; start-stop-daemon &lt;...&gt;<br><br>Да вы, батенька, ретроград<br><br>#!/sbin/openrc-run<br><br>pidfile="/var/run/endlessh.pid"<br>command="/usr/bin/endlessh"<br>command_args="${ENDLESSH_OPTS}"<br>start_stop_daemon_args="--user nobody --make-pidfile --background"<br><br>depend() {<br> need localmount net<br> after bootmisc<br>}<br># на счёт depend'а, мягко говоря, не уверен, не разбираюсь в этом<br> https://www.opennet.ru/openforum/vsluhforumID3/116899.html#103 Thu, 28 Mar 2019 17:23:05 GMT И авторизуют тоже<br> https://www.opennet.ru/openforum/vsluhforumID3/116899.html#102 Tue, 26 Mar 2019 15:18:46 GMT имх, самый простой способ борьбы с брутфорсом это ipset и фаервол и fail2ban особенно не нужен, просто блок на час, чтоб успокоился ))<br>статистика iptables:<br><br>[117756:6898429] -A INPUT -m set --match-set net_drop src,dst -j DROP<br><br>в net_drop по cron-у сливается файлик из https://lists.blocklist.de/lists/ssh.txt (главное в скрипте не забыть проверять, чтоб свои ip-ки не забанить :) ).<br><br>[132415:7902908] -A SSH -p tcp -m recent --update --seconds 3600 --hitcount 1 --name SSH --mask 255.255.255.255 --rsource -j DROP<br><br>[22534:1251425] -A SSH -p tcp -m recent --set --name SSH --mask 255.255.255.255 --rsource<br><br>[22534:1251425] -A SSH -j ACCEPT<br><br>минус такого подхода, что себя ограничиваешь, но к нему привыкаешь )<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/116899.html#101 Tue, 26 Mar 2019 04:56:24 GMT &gt; setcap даёт cap_net_bind_service перманентно &lt;...&gt;<br><br>Ну я на самом деле утрирую. Вещи типа DynamicUser и setcap -- им, безусловно, место в start-stop-daemon.<br><br>Впрочем, если бы кому-то было не всё равно на динамический uid или setcap -- давно бы всё там было.<br><br>Будем реалистами: Леннарт запилил это чисто для себя любимого.<br><br>Для сумневающихся, объясняю:<br><br>[CODE]<br>root@indexer01:/lib/systemd# find . -name \*.service &#124; wc -l<br>238<br>root@indexer01:/lib/systemd# grep -rin DynamicUser= . <br>./system/systemd-timesyncd.service:28:DynamicUser=yes<br>root@indexer01:/lib/systemd# grep -rin AmbientCapabilities= . <br>./system/systemd-resolved.service:30:AmbientCapabilities=CAP_SETPCAP CAP_NET_RAW CAP_NET_BIND_SERVICE<br>./system/systemd-networkd.service:29:AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE CAP_NET_BROADCAST CAP_NET_RAW<br>./system/systemd-timesyncd.service:30:AmbientCapabilities=CAP_SYS_TIME<br>[/CODE]<br><br>Всё. Из 238 сервисов только 4 используют это. И те -- systemd-шные.<br><br>&gt; В остальном, результат https://www.opennet.ru/openforum/vsluhforumID3/116899.html#100 Mon, 25 Mar 2019 22:23:09 GMT я чет не понял как спамерам поможет этот офигенный список ипшников со спамо ботами и почему он должен быть обязательно централизованным для последующей его продажи. я просто намекаю на то, что несколько крупных компаний могут создать консорциум по борьбе с говном в интернете и обмениваться данными только между собой + публиковать списки для всех. получится автоматизированный ркн, но абсолютно бесплатный не за бюджетные деньги и действительно борющийся с говном в интернетах.<br> https://www.opennet.ru/openforum/vsluhforumID3/116899.html#99 Mon, 25 Mar 2019 18:26:36 GMT Засуну ка ее в контейнер<br> https://www.opennet.ru/openforum/vsluhforumID3/116899.html#98 Mon, 25 Mar 2019 15:54:53 GMT &gt;&gt;20 лет назад дефейс сайта ради удовольствия написать "здесь был вася" крупными буквами, было нормальным, постоянно люди этим занимались. А сейчас я не вижу такого.<br>&gt; Написать "Здесь был Вася" крупными буквами мешает ст. 272 УК?<br><br>Может быть. Откуда я знаю? Двадцать лет назад она не мешала никому. Может быть сейчас мешает.<br> https://www.opennet.ru/openforum/vsluhforumID3/116899.html#97 Mon, 25 Mar 2019 13:11:08 GMT &gt; вдруг там человеку, например, скорую нужно срочно вызвать, а роутер у него был единственной связью с миром. <br><br>Учитывая перевод телефонной сети на чистый VoIP (когда в выдаваемый клиенту роутер встраиваются подключалка-адаптер для аналогового телефона, а "унутрях" оно теперь работает через SIP-клиент) -- это уже давно совсем не экзотическая редкость, а реальность. Как минимум, для пары десятков миллионов человек.<br> https://www.opennet.ru/openforum/vsluhforumID3/116899.html#96 Mon, 25 Mar 2019 12:34:58 GMT kippo ж давно заброшен в пользу форка cowrie<br>