<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/3.32.2">
</HEAD>
<BODY>
My experience with these was that attackers were looking for an easy entry.&nbsp; I mean EASY.&nbsp; And some of the companies I was working on were more than easy prey...and I'm not even sure they're still in business as I told them over and over again to not follow these practices.&nbsp; But they did anyway....and for all I know they're gonners now.<BR>
<BR>
One in particular (a former employer) has never changed their passwords.&nbsp; None that I am aware of...and that's with the coming and going of many an employee from engineering.&nbsp; This includes FTP sites for content, VPNs and the main database servers.&nbsp; This not a major issue and a glaring hole in security?&nbsp; But then again, I don't work there anymore and will not attempt to gain access to their systems just to see if they have changed the passwords.<BR>
<BR>
I DID just buy BOB TOXIN's book and got it in the mail over the weekend.&nbsp; Yeah, you Bob!&nbsp; Will be looking for you at an ALE Meeting soon to sign it for me!&nbsp; (Also need the CD - BTW...it was a used book and had the disk missing).&nbsp; But more to the original point...I would rather HACK MY OWN NETWORK than hack someone else's and that's exactly what I'm about to start doing.&nbsp; Thanks to the inspiration of the last ALE Meeting and topics like this thread....<BR>
<BR>
Bowing to Linux greatness in my midst....<BR>
<BR>
<BR>
On Mon, 2011-09-12 at 13:38 -0400, Michael H. Warfield wrote:
<BLOCKQUOTE TYPE=CITE>
<PRE>
On Mon, 2011-09-12 at 13:19 -0400, Erik Mathis wrote: 
&gt; I have to disagree with you on this, as you are only concerned about
&gt; ssh. Since the remote box is most likely owned, ssh brute force
&gt; attacks is likely only going to be the first wave of hate coming from
&gt; that IP. Its best to me to just take a scorched earth approached in
&gt; these situations. Every three months or so, you can remove the ACL
&gt; (how ever you end up blocking) and see if it the hate comes back. Auto
&gt; add rules should take care of the rest. In other words, its best to be
&gt; prudent and proactive now, then later when your stuff is hacked and
&gt; your only left with reactive options.

Ok...  You guys apparently don't know what Abacus Port Sentry does.
That's what it does.  If it detects a port scan above a certain
threshold, it blocks it out.  I knew the author.  I haven't played with
it in years but it is very effective and is the archetype for some
similar modern projects.  Unless he's talking about another &quot;Port
Sentry&quot;, he's already doing what he can and denyhost and fail2ban have
nothing to over over port sentry.

Also, as the runner of a honeynet for well over a decade, I can tell you
this - your argument just does not hold water.  I have never seen a
follow up attack from correlated IP addresses on other services
following unsuccessful ssh attempts.  If they can't connect to ssh, I
never hear from them on anything else.  I have capture data going back
to 1998 on my darknet.  No correlation.  Even if they connect to one of
my honeypots (another band of addresses) they still never come back and
attack on another service.  It's not happening.  It's a nice argument
but you're just scaring away ghosts in New York City (old OLD joke).
The ssh scanning that's taking place is a joke.  I seriously thought
they would have at least TRIED the stupid Debian bad ssh keys and my
honeypots were set up to deliberately trap and log on that if any ever
showed up.  Nada!  All I get are stoopid attempts at passwords like:

password
passwd
toor
qwert
trewq
poiuy
yuiop
12345
09876

Seriously!

And they've never come back a knocking.  Even on very legitimate looking
honeypot systems with open services and everything.

&gt; -Erik-

Regards,
Mike

&gt; On Mon, Sep 12, 2011 at 12:36 PM, Michael H. Warfield &lt;<A HREF="mailto:mhw@wittsend.com">mhw@wittsend.com</A>&gt; wrote:
&gt; &gt; On Mon, 2011-09-12 at 11:59 -0400, Erik Mathis wrote:
&gt; &gt;&gt; Use denyhosts. Simple and really easy to use.
&gt; &gt;
&gt; &gt;&gt; On Mon, Sep 12, 2011 at 11:05 AM, David Hillman &lt;<A HREF="mailto:hillmands@gmail.com">hillmands@gmail.com</A>&gt; wrote:
&gt; &gt;&gt; &gt; According to the PortSentry logs for my server, I have received thousands of
&gt; &gt;&gt; &gt; connection attempts via SSH port 22.  Of course, that is not the port the
&gt; &gt;&gt; &gt; real SSH service is listening on. Logins were also disabled for root.
&gt; &gt;&gt; &gt; What's interesting is the IP addresses all belong to Serverloft
&gt; &gt;&gt; &gt; (<A HREF="http://www.serverloft.eu">www.serverloft.eu</A>); most attempts came from 188.138.32.16
&gt; &gt;&gt; &gt; (loft4385.serverloft.eu).  I am guessing someone with a few VPS boxes has
&gt; &gt;&gt; &gt; nothing better to do than use up network bandwidth to terrorize the rest of
&gt; &gt;&gt; &gt; us.  Or, maybe those boxes have been compromised.
&gt; &gt;&gt; &gt; I have e-mailed the folks over over at Serverloft, but I don't expect
&gt; &gt;&gt; &gt; anything of it.  Is there anything else I can do?
&gt; &gt;
&gt; &gt; Hold the phone here!
&gt; &gt;
&gt; &gt; You guys are trying to over engineer this.  Read what the OP wrote.
&gt; &gt;
&gt; &gt; He's got ssh running on a different port already.  fail2ban and
&gt; &gt; denyhosts will do nothing that port sentry (and I'm assuming that's the
&gt; &gt; old Abacus Port Sentry) and simple firewall rules won't do.  All he's
&gt; &gt; seeing is connection ATTEMPTS.  There's nothing there to connect to so
&gt; &gt; all he's seeing is Port Sentry logging noise.  You've got it blocked
&gt; &gt; already and the service isn't running there anyways.  You don't want the
&gt; &gt; noise, stop logging it.  That's all.  You can't stop the attempts.  But
&gt; &gt; the attempts don't result in any connections.  Nothing more to do.  Move
&gt; &gt; on.
&gt; &gt;
&gt; &gt; Mike
&gt; &gt; --
&gt; &gt; Michael H. Warfield (AI4NB) | (770) 985-6132 |  <A HREF="mailto:mhw@WittsEnd.com">mhw@WittsEnd.com</A>
&gt; &gt;   /\/\|=mhw=|\/\/          | (678) 463-0932 |  <A HREF="http://www.wittsend.com/mhw/">http://www.wittsend.com/mhw/</A>
&gt; &gt;   NIC whois: MHW9          | An optimist believes we live in the best of all
&gt; &gt;  PGP Key: 0x674627FF        | possible worlds.  A pessimist is sure of it!
&gt; &gt;
&gt; &gt; _______________________________________________
&gt; &gt; Ale mailing list
&gt; &gt; <A HREF="mailto:Ale@ale.org">Ale@ale.org</A>
&gt; &gt; <A HREF="http://mail.ale.org/mailman/listinfo/ale">http://mail.ale.org/mailman/listinfo/ale</A>
&gt; &gt; See JOBS, ANNOUNCE and SCHOOLS lists at
&gt; &gt; <A HREF="http://mail.ale.org/mailman/listinfo">http://mail.ale.org/mailman/listinfo</A>
&gt; &gt;
&gt; &gt;
&gt; 

_______________________________________________
Ale mailing list
<A HREF="mailto:Ale@ale.org">Ale@ale.org</A>
<A HREF="http://mail.ale.org/mailman/listinfo/ale">http://mail.ale.org/mailman/listinfo/ale</A>
See JOBS, ANNOUNCE and SCHOOLS lists at
<A HREF="http://mail.ale.org/mailman/listinfo">http://mail.ale.org/mailman/listinfo</A>
</PRE>
</BLOCKQUOTE>
<BR>
</BODY>
</HTML>