I nostri registri mostrano un sacco di attacchi di forza bruta SSH originati sulla porta 11

I numeri di porta sorgente vengono normalmente scelti casualmente per non interferire con i server che ascoltano su porte "ben note". Se la macchina A è un client da lavorare B (ad esempio B è il tuo server SSH), allora il kernel su A sceglierà normalmente una porta "alta" libera casuale, perché se sceglie la porta N , allora questo impedirà qualsiasi potenziale connessione da B a un server in esecuzione su A e associato alla porta N .

Tuttavia è banale scegliere una specifica porta sorgente; si tratta di una semplice chiamata bind() prima di connect() . Per valori di porta inferiori a 1024, su sistemi Unix, questo richiede root privilegi, ma possiamo presumere che l'autore dell'attacco sia root sulla sua stessa macchina. Perché un aggressore dovrebbe farlo? Probabilmente per ingannare le regole del firewall scritte male. Alcuni amministratori di sistema autorizzano semplicemente pacchetti con valori di porta bassi sull'ipotesi (errata) che una porta bassa possa essere solo sul lato server di una connessione.

Per il record, la porta 11 è per il servizio systat , un modo vecchio stile per gli amministratori di sistema di raccogliere alcune informazioni sul sistema di runtime sulle loro macchine.

I client SSH e la maggior parte qualsiasi altra cosa, randomizzano la loro porta sorgente. Tuttavia, di solito è una porta ad alto numero. Lo strumento brute-force dell'attaccante probabilmente ha solo 11 hard-coded come porta sorgente.

Può benissimo essere che il tuo aggressore stia usando uno strumento di preparazione a casa. Questo significa che l'ha scritto lui stesso.

Se vuoi proteggere la tua macchina da questi attacchi dovresti provare OSSEC che blocca automaticamente i trasgressori dopo alcuni tentativi sul tuo SSH port.

Probabilmente l'autore dell'attacco sta cercando di ottenere un elenco di processi in esecuzione sul tuo host esterno, in modo che possano iniziare a seguirli.

link