<br><br><div><span class="gmail_quote">On 2/3/06, <b class="gmail_sendername">John Southern</b> <<a href="mailto:john@sinoda.demon.co.uk">john@sinoda.demon.co.uk</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I opened up an sshd on a box to be able to extract some info from a remote<br>box. I went away and got the files I needed. However, I thought my link was<br>slow so I looked at the logs. The messages log shows an ssh attempt every few
<br>seconds. I think it took about thirty seconds from first being opened to the<br>first attack.<br><br>Was I just unlucky and if so, what is the average time before an ssh box is<br>attacked.<br><br>Although not quite working through a dictionary attack, it is definitely a
<br>preprepared list of common user names. I traced this back to a host name of<br><a href="http://zz-13-91-a8.bta.net.cn">zz-13-91-a8.bta.net.cn</a> from its IP address of <a href="http://202.108.13.91">202.108.13.91</a>
<br><br>First, what should I do? Is this a problem for every ssh port out there and<br>how can I maintain some form of access to the machine. I tend to run this<br>particular box headless and so would like some access remotely. Does anyone
<br>just use rsa keys and not passwords and if so is it anymore secure?<br><br>Second, is there anything I should do about this attacking box or is it just<br>not worth it?<br><br>Am I right in assuming changing the ssh port is pointless as anyone with nmap
<br>will see the port I change it to anyway?<br><br>How can I tell if my passwords are strong? As I get older I find that<br>remembering new random characters is getting harder, although I have not<br>quite reached to level of writing them on a post-it note under the mousemat
<br>yet. An example of a now redundant one I used in the past is Mh4Ll1FwW4s<br>(Mary had a little lamb it's fleece was white as snow).<br><br>John<br>--<br>Gllug mailing list  -  <a href="mailto:Gllug@gllug.org.uk">Gllug@gllug.org.uk
</a><br><a href="http://lists.gllug.org.uk/mailman/listinfo/gllug">http://lists.gllug.org.uk/mailman/listinfo/gllug</a><br></blockquote></div>
<br>
Two things that made my life easier:<br>
<br>
Change sshd port, to hide from the scripts.<br>
 <br>
Install portsentry to block targeted attacks from flesh and scripts.<br><br>Tom<br>