Какеры и брутфорс.

Абуз можно написать владельцу автономки, смотрится в RIPE.

Ограничить число неудачных входов до забана и забыть.

абузят конечно периодически

перевесь на другой порт и забей

Это ясно. Иногда даже помогает. Но должны же этим организации заниматься.

Меня сама идея беспокоит. Почему им никто не мешает?

а почему мыльному спаму «никто не мешает»?

мешают конечно, но это же в основном боты.

Не со своих же компов лезут... Проверь их nmap'oм.

Низзя. Швабодка. В интернете можно только форсить выгодное некоторым организациям мнение, под видом общественного.

В идеале это целый протокол новый нужен, вида «с тебя льётся мусор с такого-то IP, заблочь и передай дальше по цепочке» и флудильщик затыкается на ближайшем провайдере.

Кто их должен ловить?

а почему мыльному спаму «никто не мешает»?

Где-то читал, не у нас, взяли за задницу одного такого. Оправдали тем, что нашлись люди, которым эти рассылки были полезны, они там нашли те товары/услуги, которым им были желательны, и в таком духе.

Ну и есть решение проблем неофициальными способами, man «центр американского английского».

Кому это нужно? Отделу К что ли - не смеши. Кроме того, состава преступления нет, у тебя ничего не свиснули, на деньги не нагрели, ущерба не нанесли, а посему у тебя даже заявление не примут. Это как в полиции «как трупы будут, приедем, а пока пусть дерутся».

Где-то читал, не у нас, взяли за задницу одного такого.

взяли, но спам то жив до сих пор. пока он будет эффективен и будет приносить деньги - он будет жить.
мир несправедлив

А кто преступников ловит? Или это не их ПО стучится?

fail2ban + недэфолтный порт -> можно больше не заморачиваться.

В идеале это целый протокол новый нужен, вида «с тебя льётся мусор с такого-то IP, заблочь и передай дальше по цепочке» и флудильщик затыкается на ближайшем провайдере.

круто, тогда даже ддосить не надо будет - собрал 10 друзей и начал банить неугодные сервера

А кроме России больше стран нет? Или Отдел К один на весь мир?

Это как в полиции «как трупы будут, приедем, а пока пусть дерутся».

После N звонков от жильцов приезжают и грузят пьянь под окнами - проверено. Хотя вроде бы тоже никаких убийств и терактов.

круто, тогда даже ддосить не надо будет - собрал 10 друзей и начал банить неугодные сервера

Только друзья должны быть операторами, желательно национального уровня.

Форум Русский, так что твоя иностранность мне безразлична ровно до тех пор, пока ты явно не укажешь, о какой стране речь.

Я говорю о сети Интернет. А она вроде как всемирная.

Ты писал о ловле кибер-преступников, точнее кто их должен ловить, писал это на русском форуме, не обозначив конкретную страну, следовательно речь была о российских п-органах.

Ты ошибаешься.

Преступников ловит полиция. Для этого должно произойти преступление. Является ли преступлением попытка залогиниться? Чьим преступлением? Кто пострадавший? Какого рода ущерб нанесён? Написал ли он заявление? Под чьей юрисдикцией находится атакующая машина, атакуемая машина и пострадавший?

Да я уже заметил твой «огромный» интеллект.

Преступников ловит полиция.

Кибер-преступлениями полиция не занимается, по крайней мере в россии и сша, для этого есть спец-отделы, так как преступления эти высоко-технологичные, требующие соответствующих оперативников.

А разве это не попытка взлома? Может поставить сервачок и отслеживать действия? Будет ip и все действия.

Будет ip и все действия.

И кому эти ip нужны? Откуда уверенность что пойманный ip не всего лишь участник зомбо-сети хакера?

Ну и отлично. Одним участником меньше. Пусть с ним провайдер разбирается.

А разве это не попытка взлома? Может поставить сервачок и отслеживать действия? Будет ip и все действия.

Для этого на всякой сетевой аппаратуре можно задать баннер, писанину вида «Вы пытаетесь залогиниться на сервер компании N. Доступ запрещён, кроме сотрудников компании N. Отключитесь немедленно.».

Были случаи, когда не удавалось привлечь хацкеров именно из-за отсутствия этой строчки, всегда можно сказать что он «не знал» и просто игрался.

Возникает слишком много спорных и сложных вопросов. Окей, поставил ты сервачок, залоггировал, что к нему подобрали пароль, залили спамбота и шлют спам/заражают таких же. Взял айпи, пробил, это оказался какой-нибудь впс на каком-нибудь хецнере, на котором крутится мелкий никому не нужный сайт. Естественно этот сервер был взломан точно так же, а почтенная австралийская фирма-владелец сайта, разводящая кенгуру никакого отношения к вирусу не имеет и вообще про сайт с трудом вспомнила. Чего дальше делать?

Я так скажу: не знаю как в других странах, а в россии, пока не нанесен ущерб (материальный, моральный, физический, психологический) и ущерб этот не зафиксирован бумагами, заявление конечно примут, но отнесут его прямо в помойку. Кстати на материальный есть даже фиксированная такса, если память не изменяет, то около тысячи рублей.

За что ловить-то? Ты сам в интернет свой сервер выставил? Доступ кому угодно открыл? Вот, пожинай.

Чего дальше делать?

Как минимум оттуда уже ничего литься не будет.

Телефонных хулиганов тоже через милицию не всегда ловят далеко, однако отгородиться от них всегда можно. Главное узнать, кому номер физически принадлежит и не постесняться туда позвонить и попросить прекратить звонки. Дальше уже найдут крайнего или просто перестанут этот номер роутить. Тут это в ручном режиме прокатывает, так как число событий и участников маленькое, да и случается такое нечасто.

Ну хоть сайт починят, а то и не знают поди что их поломали.

Ну напиши провайдеру абуз, скорее всего меры будут приняты.

ssh с паролем это кому угодно?

Так блин, мне-то зачем? :) Не я ж спрашивал :)

В идеале это целый протокол новый нужен, вида «с тебя льётся мусор с такого-то IP, заблочь и передай дальше по цепочке» и флудильщик затыкается на ближайшем провайдере.

Кстати, а в RFC ничего по этому поводу не пробегало? Хотя, такой протокол можно использовать и во зло.

За что?

Неужели этим никто не занимается?

Люди думают как на еду заработать и как взять квартиру в ипотеку.
А такие мелкие проблемы, как перевешивание sshd на другой порт + fail2ban - мелочь по сравнению с первыми.

Это боты-роутеры же.

Зато можно поставить хонейпот, наловить паролей и заиметь несколько надёжных прокси :<

fail2ban + недэфолтный порт -> можно больше не заморачиваться.

Можно и на дефолтном с fail2ban не заморачиваться.

Ну и отлично. Одним участником меньше. Пусть с ним провайдер разбирается.

Ты просто не представляешь масштабов использования ботнетов. Там миллионы компьютеров в крупных сетях и отсутствие переспектив добраться до места, откуда оно управляется.

соединение на 22й порт доступно кому угодно абсолютно без всяких паролей. Интернет так зделан, что там нету ограничений доступа.

покажи хоть какого вида записи? может быть и меня стремятся похакать, да только я об этом не знаю

Так займись.

Правило iptables пишется за пару минут.

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit 1/hour --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name SSH --hashlimit-htable-expire 600000 -j ACCEPT 

iptables -A INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP 

Т.е. разрешено 2 попытки в час. Иначе блочим нафиг. Через 600 000 мс бан протухает

Да знаю я все это :) Меня интересует борьба с самими людьми делающими это.

dec/16/2012 17:36:27 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:31 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:33 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:37 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:39 system,error,critical login failure for user root from 211.155.229.103 via ssh
dec/16/2012 17:36:43 system,error,critical login failure for user root from 211.155.229.103 via ssh

Спасибо, это мы уже имеем в виде спамхауса

а как ты людей искать-то будешь?