завалите этого урода

0

0

May 4 16:39:26 arhimed sshd[20887]: Failed password for an unknown user from 220.128.206.131 port 36379 ssh2
May 4 16:39:26 arhimed sshd[20887]: Connection closed by 220.128.206.131
May 4 16:39:26 arhimed sshd[20889]: Failed password for an unknown user from 220.128.206.131 port 37451 ssh2
May 4 16:39:26 arhimed sshd[20889]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:31 arhimed sshd[20890]: input_userauth_request: illegal user Armi
May 4 16:39:31 arhimed sshd[20890]: Failed password for an unknown user from 220.128.206.131 port 38590 ssh2
May 4 16:39:31 arhimed sshd[20890]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:32 arhimed sshd[20891]: input_userauth_request: illegal user Jaakoppi
May 4 16:39:32 arhimed sshd[20891]: Failed password for an unknown user from 220.128.206.131 port 39043 ssh2
May 4 16:39:32 arhimed sshd[20891]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:35 arhimed sshd[20892]: input_userauth_request: illegal user Arsi
May 4 16:39:35 arhimed sshd[20892]: Failed password for an unknown user from 220.128.206.131 port 39743 ssh2
May 4 16:39:37 arhimed sshd[20894]: input_userauth_request: illegal user Jaana
May 4 16:39:37 arhimed sshd[20894]: Failed password for an unknown user from 220.128.206.131 port 40031 ssh2
May 4 16:39:37 arhimed sshd[20894]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:39 arhimed sshd[20892]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:41 arhimed sshd[20895]: input_userauth_request: illegal user Jalmari
May 4 16:39:41 arhimed sshd[20895]: Failed password for an unknown user from 220.128.206.131 port 41063 ssh2
May 4 16:39:42 arhimed sshd[20895]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:43 arhimed sshd[20896]: input_userauth_request: illegal user Arto
May 4 16:39:43 arhimed sshd[20896]: Failed password for an unknown user from 220.128.206.131 port 41512 ssh2

Ссылка

←	аналог security.bsd.see_other_uids

PAM, LDAP, Kerberos, Radius, аутентификация и каша в голове.

→

уже час подбирает пароли, у меня мой p90 аж надрывается

~~vilfred~~ ☆☆
(04.05.07 21:23:51 MSD) автор топика

Ответ на: комментарий от vilfred 04.05.07 21:23:51 MSD

Поменяй пароль на maotzedun

anonymous
(04.05.07 21:26:59 MSD)

Ответ на: комментарий от anonymous 04.05.07 21:26:59 MSD

щас =)

~~vilfred~~ ☆☆
(04.05.07 21:30:16 MSD) автор топика

Ссылка

Скорее всего это зомбитачка, надо громко нажаловаться его прову.

Deleted
(04.05.07 21:31:10 MSD)

Ссылка

да обычное дело...у нас постоянно кто-то пытается пробиться ))...

dreamer ★★★★★
(04.05.07 21:31:24 MSD)

Ссылка

У него светит в сеть ssh - openssh 4.3. Експлоит в природе имеет место быть. Дерзайте.

signal
(04.05.07 21:31:24 MSD)

Ссылка

iptables? ipfw? не?

Teak ★★★★★
(04.05.07 21:31:42 MSD)

Ответ на: комментарий от Teak 04.05.07 21:31:42 MSD

iptables

~~vilfred~~ ☆☆
(04.05.07 21:33:34 MSD) автор топика

Ответ на: комментарий от vilfred 04.05.07 21:33:34 MSD

Командочку подсказать?

Teak ★★★★★
(04.05.07 21:38:02 MSD)

Ответ на: комментарий от Teak 04.05.07 21:38:02 MSD

чтобы его закрыть? замолчал вроде =) дык это можно и через hosts.deny вроде

~~vilfred~~ ☆☆
(04.05.07 21:39:15 MSD) автор топика

Ссылка

~ % sudo zgrep -c ']: Invalid user ' /var/log/messages*
/var/log/messages:1679
/var/log/messages-20070225.bz2:4786
/var/log/messages-20070429.bz2:12733
~ %

true
(04.05.07 21:42:47 MSD)

Ответ на: комментарий от true 04.05.07 21:42:47 MSD

чо, уже? а я только эксплоит нашел =)

http://www.securitylab.ru/poc/extra/274639.php

~~vilfred~~ ☆☆
(04.05.07 21:44:29 MSD) автор топика

смени порт и баннер, это сразу отсекает кучу идиотов и ботов

JB ★★★★★
(04.05.07 21:45:57 MSD)

Ответ на: комментарий от vilfred 04.05.07 21:44:29 MSD

Опа..так он все таки сработал :)

signal
(04.05.07 21:46:28 MSD)

Ссылка

http://www.zeroflux.org/cgi-bin/cvstrac.cgi/knock/wiki и нии..т.

anonymous
(04.05.07 21:52:57 MSD)

Ссылка

Ответ на: комментарий от vilfred 04.05.07 21:44:29 MSD

Это что, эксплоит от ботов?? Или для ботов? Я что-то не понял что он делает...

Mousehouse ★
(04.05.07 22:21:13 MSD)

Ссылка

у меня когда подключаюсь напрямую без файрволла, через каждые три минуты Remote Desktop Sharing выскакивает с предложением разрешить доступ...

Причём этот клиент (Krfb), выкидывает окошко спрашивающее о подключении даже если ему просто по телнету стукнуть...

про ssh на роутере вообще молчу, там проваленные попытки логина выводятся на консоль, какие только имена юзеров угадать не пытаются :)

Жаловаться прову? И как? А поможет? Ломятся с румынских ip а румыны нашего мата не понимают, проверял :)

Den0k ★
(04.05.07 22:27:50 MSD)

Ответ на: комментарий от Den0k 04.05.07 22:27:50 MSD

Смени порт(с 22 на высокий) и банер - сказали уже же. Неужели это так трудно? Это гораздо легче, чем написать одно сообщение тут.

Deleted
(04.05.07 23:08:43 MSD)

Ссылка

Ответ на: комментарий от vilfred 04.05.07 21:23:51 MSD

Ты тоже смени порт.

Deleted
(04.05.07 23:09:16 MSD)

Ссылка

$map 220.128.206.131

Starting Nmap 4.20 ( http://insecure.org ) at 2007-05-04 23:12 EEST
Interesting ports on 220-128-206-131.HINET-IP.hinet.net (220.128.206.131):
Not shown: 1689 filtered ports
PORT      STATE  SERVICE
21/tcp    closed ftp
22/tcp    open   ssh
53/tcp    closed domain
80/tcp    open   http
113/tcp   closed auth
3306/tcp  open   mysql
8080/tcp  open   http-proxy
10000/tcp open   snet-sensor-mgmt

Гы, прокся открытая :) паюзаем? ;)

Vanilin ★★★★
(05.05.07 00:16:47 MSD)

Ответ на: комментарий от Vanilin 05.05.07 00:16:47 MSD

В каком месте тут прокся?

true
(05.05.07 00:38:43 MSD)

Ссылка

Ответ на: комментарий от Vanilin 05.05.07 00:16:47 MSD

ниюзаеццо

anonymous
(05.05.07 00:38:46 MSD)

Ответ на: комментарий от anonymous 05.05.07 00:38:46 MSD

Apache Tomcat на обоих портах тама, а не прокси.

Mousehouse ★
(05.05.07 00:51:29 MSD)

Ответ на: комментарий от Mousehouse 05.05.07 00:51:29 MSD

google 220.128.206.131

:))))

~~FiXer~~ ★★☆☆☆
(05.05.07 01:11:49 MSD)

Ответ на: комментарий от FiXer 05.05.07 01:11:49 MSD

220.128.206.131 TW Taiwan Taipei

гы, как же их назвать то? не китайцы, не японцы...

~~vilfred~~ ☆☆
(05.05.07 03:14:25 MSD) автор топика

relax батько, сие есть дело обычное и не повод для паники. у меня уже который год желающие получить халявный шел подбирают пароли, но как-то все не получается. ну и хрен с ними.

// wbr

~~klalafuda~~ ★☆☆
(05.05.07 06:58:54 MSD)

Ссылка

Ответ на: комментарий от vilfred 05.05.07 03:14:25 MSD

>гы, как же их назвать то? не китайцы, не японцы...

гоминьдановцы-чанкайшисты.

Порт можно не менять, достаточно что-то вроде Denyhosts поставить и пусть ломятся сколько влезет.

anonymous
(05.05.07 09:22:35 MSD)

Ссылка

Бывает и хуже

http://bash.org.ru/quote.php?num=198949

record ★★★★★
(05.05.07 11:03:21 MSD)

Ссылка

поставь denyhosts и забудь про таких чудиков

v12aml ★★
(05.05.07 15:25:56 MSD)

Ссылка

Ответ на: комментарий от vilfred 04.05.07 21:23:51 MSD

Хост тайваньский, а юзернеймы набиваются финские. Странно.

manokur ★★
(05.05.07 15:47:06 MSD)

http://www.the-haleys.com/chaley/ssh_dictionary_attacks.php

generatorglukoff ★★
(05.05.07 19:31:40 MSD)

Ссылка

Ответ на: комментарий от JB 04.05.07 21:45:57 MSD

Баннер это то как представляется ssh сервер когда цепляешься к ssh telnet'ом  ??
т.е. например: SSH-2.0-OpenSSH_4.3p2
Если да, тогда бы я не советовал это делать.

tugrik ★★
(06.05.07 11:36:33 MSD)

Ответ на: комментарий от tugrik 06.05.07 11:36:33 MSD

Убедительно. Аргументированно.

Teak ★★★★★
(06.05.07 12:24:56 MSD)

Ответ на: комментарий от Teak 06.05.07 12:24:56 MSD

Хм. Но я не получил подтверждения тот ли это банер о котором я подумал. Есть же еще опция Banner в sshd_config. Если же речь идет все-таки о первом "баннере". IMHO: Сервер и клиент таким образом договариваются о своих версиях(наличие/отсутсвие багов/фич), о версии протокола. Я внутрь не заглядывал, но думаю не стоит мешать им это делать. Если после очередного апдейта ssh отвалится из-за этого (если конечно такое возможно), думаю проблему будет тяжело найти.

http://www.openssh.net/faq.html#2.14

tugrik ★★
(06.05.07 13:51:10 MSD)

Ссылка

Используй fail2ban.

enkarito
(08.05.07 20:28:13 MSD)

Ссылка

Девочка на сайте у него красивая.

~~qsloqs~~ ★★
(08.05.07 20:32:10 MSD)

Ссылка

"завалите этого урода (vilfred)"

Хороший заголовок.

execve ★
(12.05.07 15:01:19 MSD)

Ссылка

Ответ на: комментарий от manokur 05.05.07 15:47:06 MSD

Это что, у меня как-то *рута* час брутфорсили на домашней тачке, при том, что ssh у меня его "из коробки" знать не желает. Достали, перевесил на высокий порт, теперь не допрыгивают =)

Думал даже honeypot сделать со сломанным sshd на 22 порту (чтобы он вообще никогда не авторизовал). Пока что лень, да и дел других хватает.

Есть еще, говорят, волшебный модуль для iptables -j TARPIT. Высасывает ресурсы у супостата (сокеты открытые держит почем зря).

lodin ★★★★
(14.05.07 12:53:28 MSD)

Ответ на: комментарий от lodin 14.05.07 12:53:28 MSD

в сети 217.65.0.0 с айпишника 213.195.76.214 уже дней пять какой то бот работает безперерыва :) надоело мне читать отчеты от fail2ban пришлось #iptables -t filter -a INPUT --source 213.195.76.214 -j DROP делать :)

Somewho ★★
(25.05.07 13:16:40 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	аналог security.bsd.see_other_uids

Security

PAM, LDAP, Kerberos, Radius, аутентификация и каша в голове.

→

Похожие темы