= Сообщение: 2857 из 10763 ===================================== RU.UNIX.BSD = От : Alex Korchmar 2:5020/400 22 Apr 15 23:00:03 Кому : Valentin Davydov 22 Apr 15 23:00:03 Тема : Re: lazy ssh FGHI : area://RU.UNIX.BSD?msgid=<1187500779@ddt.demos.su>+a52e7c78 На : area://RU.UNIX.BSD?msgid=<1187500777@ddt.demos.su>+cfd98c75 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: Alex Korchmar <noreply@linux.e-moe.ru>
Valentin Davydov <sp@m.davydov.spb.su> wrote:
VD> могуществом своего ботнета. Я впечатлился и сделал вывод о непригодности VD> src ip в качестве критерия фильтрации. почему же? Просто это не той фильтрации критерий. Засветка этого ip - признак badly maintained host. Его надо добавить прежде всего в спамобазу, в капчефильтр, в фильтр voip-серверов, ну и при желании - в блоклисты вебсервера (и уж в самую последнюю очередь и если совсем достал - ssh). И, возможно, весь whois-блок туда же, если найдутся подтверждения, что это не случайность.
Потому что вполне понятно, что хорошего траффика оттуда при нашей жизни мы вряд ли увидим, а вот что-то еще плохое (даже вообще никак не связанное с этим троянцем) - запросто. Просто его завтра поломает кто-то другой. Или сам владелец его для того и завел.
Hо это, конечно, не для поделки уровня fail2ban задачка, надо руки попрямее. При этом засвечивается оно - 100%, перепутать с ошибкой при вводе пароля - это надо быть феерическим мудаком уровня авторов fail2ban и его безголовых юзеров, так что написать правильные скрипты такой малой механизации - дело нескольких вечерков.
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)
