Trött på återkommande intrångsförsök som pågått under flera år

Jo kollat där, men står inget fuffens eller nåt jag inte känner igen som min egen aktivitet

That page doesn't exist

The requested page was not found.

De har tydligen redan tagit bort bilden. Var hur som helst en säkerhetslogg som visade intrångsförsöken senaste dygnen på ett av mina konton.

OP skulle se mitt MS konto. Ett par hundra försök om dagen i bland. Och det är alltid från värdelösa skitländer som Kina, Grekland och div sandneger länder etc.. Att bottarna försöker är inget konstigt, huvudsaken är ju att dom inte kommer in skulle jag tycka.

Jag har samma upplevelse från en "öppen" SSH-förbindelse som jag kör för att komma åt en viss dator remote oavsett från vilket IP-nr. Med frekvensen på bot-försöken att logga in så skaffade jag snart inloggning med privat/publik nyckel för att slippa "brute force" botting.

Dom fortsätter oavsett, onödigt att exponera sin ssh till internet

Rekommenderar att använda port knocking för att logga in.

https://it-ord.idg.se/ord/port-knocking/

Ungefär som att knacka på dörren med ett specieltl mönster. Knackas det som vanligt, så vet man troligtvis att det är jehovas vittnen annars, kom in!

Jag brukar scanna Github's api för att hitta targets jag vill komma åt. Lätt att se ifall om någons key eventuell är till en specifik server om man vet hur man gör. Därför port-knockning är väldigt bra, det skall matcha ens egen ip också. Relativt enkelt att sätta upp med fail2ban.

Jag brukar vara en av alla som scannar av internet så mig har ni säkert stött på i era loggar. Har min egen shodan variant, jag använder de för att hoppa mellan servrar när jag surfar, hur som helst är det som skulle störa mig ifall om ni sätter en timeout på ~30000 sekunder vid felaktigt försök då stoppar ens bot, så kan man göra om man vill jävlas tillbaka också mot alla "botar". Rätt enkelt att komma förbi om man sätter typ en timeout på 1s men det gör inte dom flesta, tänkte om du vill få dom att sluta då är det ett effektivt sätt, sätt max antal försök till 1 om du har nyckel, då kommer det om man har satt pub key inte exponera att man har en nyckel utan de kommer hamna i en ett spindelnät kan man säga och när dom kommer resultatet kommer dom se vart och när det slutade, då lägger dom tillslut ens ip nät i en excluded lista så slipper man problemen framöver om man har statistik ip.

I början körde jag alltid en counter attack mot dessa som scannar ens server men det hjälpte inte riktigt även om jag körde en ddos mot dom så fort exakt samtidigt dom skrev så hjälpte det inte så jag frågade i #opeensh om hur jag kunde gör det effektivare så fort dom attackerade mig så attackade jag tillbaka men då fick jag tipset ovan av en från ingentans. Det har jag kört på ett par nu, jag blev nöjd.

En annan sak jag gör är att jag lägger ut alla som scannar mig genom att ta användernamnet + ip nummret med awk och bara appendar till hackers.txt så har jag en fil på min hemsida där jag skrivit "Iditos" så där är alla som attackerat mig finns så kan den som vill vilka som attackerat en, så borde alla göra då hade vi snat kmmit uderfund med problemet. Finns nog ställen man kan rapportera dessa till men jag valde göra det på mitt eget sätt.

En annan sak är att sätta upp det dom gör i en jailed variant och sedan lägga ut vad det är dom gör på ens server. Då får manäven reda på vad dom gör, vad dom försöker göra osv. De är ungefär liknande med alla som har öppna WINDOWS SERVRAR på shodan, loggar man in på en som är öppen så kan man stöta på en dator som har fullt med jävla massa PORR i bakgrunden och göra massa mappar med CHILD PORN men egentligen är de unga asiater, då kommer man aldrig mer göra om de, de första man gör då är att kolla om VPN fungerade Det används också för att kunna STÄMMA Shodan.io och även stämma "hackare" som olovligen tagit sig in på en dator, kan man skylla på dom om man vill jävlas med "hackare" eller andra fommar man läst om här på Flashback som tror dom är några "hobby snutar" som skall sätta fast folk så åker dom dit själva. Skrivborden är 99% av alltid "viewable" only. Det lärde jag mig av att se hur kinserna gjorde, nu har shodan dock ordnat det problemed med att göra loginscreen till "blank" om man loggar i,

Gör saker som förvånar den andra!

Hur som helst är detta mer om man verkligen vill förstå problemet och hur dom arbetar, efter ett par år om man tar alla usernames + ip nummer så har man ett mönster på vad som används och det blir väldigt logiskt allting, AllowedUser är väldigt bra + 1 allowed login + key som du använder för att inte ha problem med ssh anslutningar någonsin framvöver igen, många ställer in 2 försök på maxauth men det hjälper inte.

Försöker man igen om du satt maxuath till 1 så kommer den som inte har rätt nyckeln att få meddelandet "Max attempts has been tried" då den failar innan man kommer till login prompt.

Allmänt tips till alla som råkar ut för intrångsförsök.

CHILD PORN skrämmer alla! Det är det överlägset bästa tipset, har man inget med det att göra så är de bara köra på. Har man inget med det att göra så finns det inget att vara rädd för, oftast är den som är rädd den som har med det att göra!

Eller göra en BANNER den exponeras ju ut INNAN man ansluter till just SSH

Tjena !

Det är någon som portscannar dig, kan vara en köpt hacker. Det finns tusentals som gör det hära över jorden för pengar.
Jag är själv utsatt av an man sedan 15 år, och han bor i Stockholm. Det enda som fungerar är offensiv Strategi. Dom gömmer sig bakom proxies , vpn och dom kan sitta i spelhall och blåsa på.
Tänk efter om du har någon fiende. Låter som han jag känner. Det är lite stalking över det här.
Hålla på med brandväggar och dätsäkerhet, glöm det. Dom hittar en väg in. Så titta på honom ordentligt. tråkigt som fan. Bor du i Stockholm så kan det peka åt ett håll.
Den som kan säkra sin dator helt skulle jag vilja träffa. Inte ens Säpo kan använda sina datorer för annat än löneutbetalningar. Dom har andra kanaler