[Linux-Biella] tentativi di accesso da IP 200.219.3.10

[vallini.daniele a bilug.it]

Wed, Jan 26, 2022 at 11:25:28AM +0100  Leonardo Buffa ha scritto: 

> ciao
> 
> da giorni ho su parecchi server, tentativi di accesso dal suddetto IP
> e' abbastanza palese un tentativo di bruteforce. Sicuramente l'attacco non
> e' presidiato: i miei server accettano solo accesso con chiave SSL e per un
> po' ho messo in hosts.deny tutta la /16.
> Nonostante questo i tentativi continuano e l'ho infilato in iptables come
> DROP e anche ora, kern.log mostra che continua.
> Ho gia' segnalato la cosa ai relativi abuse@ se volete dare un'occhiata se
> avete macchine esposte iptabbatelo anche voi.
> 
> PS: ovviamente ssh non ascolta sulla 22 ma su porte parecchio alte.

Certo non uso la 22, quando la usavo gli script-kiddies mi riempivano il log.
Ora pero' non vedo sul mio server gli attacchi che citi.
Con iptables droppo molto poco gli IP, preferendo fail2ban.
E' vero che con DROP lo specifico attaccante non riceve risposta, ma fail2ban va
bene per tutti, banna per un po e fa perdere tempo e risorse al cracker
Sino ad ora vado bene ma non sono certo che tale strategia sia ottimale, dimmi il tuo parere.
Qualche giorno fa OVH ha segnalato sul mio IP un DDos che ha autonomamente alleviato.
Non ne ho traccia sulla macchina e non sapevo che OVH per un VPS cosi' minimale come il mio
offrisse anche quel servizio, magari e' solo uno scoop pubblicitario.
Altro non so.

-- 
Daniele