# brute force su ssh fa freezare gentoo?!possibile?

## sbranz

possibile che la causa dei freeze ricorrenti a distanza di 4/5 di up consecutivi siano brute force su ssh? Ho controllato tutti i file di log del kernel..dei demoni..di tutto..le uniche anomalie sono i continui tentativi di login su ssh piu o meno ogni 3 secondi..

qualcuno consiglia un modo per capire il problema? il pc rimane con scrool lock e caps lampeggianti...e schermo nero..

nel caso mi consigliate qualche appz tipo Denyhosts? ne esistono di piu aggiornate per caso?

grazie mille  :Razz: 

----------

## Cazzantonio

Prova a cambiare la porta ssh. Mettila su una alta e guarda se il problema si ripresenta (con ssh su una porta alta la maggior parte degli attacchi automatici va a vuoto).

----------

## sbranz

si si ci avevo pensato...ma cercavo qualcuno con lo stesso problema..magari per confermarmi che fosse quello e non altro magari..

----------

## CarloJekko

sicuramente il brute force mangia risosre... 

prova ad impedirlo con iptables 

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name SSH -j DROP

iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 8 --rttl  --name SSH -j LOG --log-prefix " : SSH_brute_force : "

----------

## Kernel78

Un tentativo ogni 3 secondi mangia una quantità di risorse talmente risibile che non creerebbe problemi nemmeno ad un 386 ...

Questi tentativi non possono essere la causa di un freeze di sistema (l'ho già anche scritto in un'altra discussione).

Li ho subiti per anni e non ho mai sperimentato un freeze ... (a parte quelli causati da ricompilazioni troppo sperimentali ed estreme del sistema).

----------

## Apetrini

Qui secondo me c'è un problema di fondo, non è possibile che "un consumo di risorse" faccia freezare il sistema.

Al massimo rende inacessibile il servizio, ma non che freezi tutta la macchina.

Sicuramente è il sintomo di un problema di altra origine.

----------

## CarloJekko

non è ke ti facciano un qualcosa simile ad un SYN flooding... in questi casi iptables è necessario...

----------

## Kernel78

 *CarloJekko wrote:*   

> non è ke ti facciano un qualcosa simile ad un SYN flooding... in questi casi iptables è necessario...

 

Per fare un syn flood che abbia un qualche effetto (in ogni caso dubito che ti freezi la macchina) deve essere bello massiccio e questo non ci si avvicina nemmeno, viene effettuato un nuovo tentativo ogni 3 secondi, per la macchina sono un'eternità, ribadisco che anche un 386 con 4 mb di ram non avrebbe il minimo cedimento di fronte ad un brute force come questo ...

----------

## sbranz

eh...anche io pensavo che fosse sintomo di qualcos'altro..ma non utilizzando HAL...e nessun altro servizio...ho pensato che potesse essere solamente quello! tant'è che chiudendo gli accessi dal router per tutti gli ip tranne il range che mi interessava filtrare, non si è ripresentato ancora il problema..speriamo bene  :Razz: 

----------

## Sephirot

bhe cmq e' strano che ti si freezi il pc per dei brute force.

Hai provato a fare un memtest? anche cosi' per curiosita'

----------

## sbranz

no nn ho provato...puoi spiegarmi in cosa consiste e cose fare..? grazie  :Razz: 

----------

## Sephirot

E' un test della memoria ram, il programma scrive in RAM lunghe sequenze di bit, eseguendo test di diverso tipo per individuare eventuali errori di indirizzamento etc.

Per farlo partire devi avviare il pc con un cd-live gentoo al boot premi F1 e scegli memtest86, occhio che e' un test lungo e richiede diverse ore, ti consiglio di farlo partire di notte prima di andare a dormire o prima di andare a lavoro.

----------

## sbranz

ok ci provero e ti farò sapere  :Razz:  per ora grazie..

ah..c'è qualche differenza tra memtest86 e memtest86+? ho notato queste differenti versioni..

see ya  :Wink: 

----------

## Sephirot

se non erro memtest86 dal 2004 non e' piu' aggiornato e gli sviluppatori ora lavorano su memtest86+, cmq non dovrebbero esserci grandi differenze.

----------

