Linux брутфорс ssh

>проверен киской

Страшно представить.

Копай в сторону провайдера и попроси доказательств (логи хотя бы).

Тема:
ssh probes from ****
Дата:
Mon, 3 Oct 2011 14:26:28 +0100 (BST)
От:
Rhys Morris <R.Morris@bristol.ac.uk>
Кому:
lesha@ufamts.ru, ****@bashtelecom.ru
Копия:
Rhys Morris <R.Morris@bristol.ac.uk>


Hi,

In the absense of an abuse contact in whois, I'm sending this to:
****@ufamts.ru,
****@bashtelecom.ru

Could you investigate the ssh probes below from **** please?

All times are BST = GMT + 1

The FQDN of sol is sol.star.bris.ac.uk = 137.222.58.39

Thanks,
______________________________________________________________________
Dr Rhys Morris - Astrophysics/Unix/Linux Computing Support, Room 4.33A
HH Wills Physics Laboratory, Tyndall Avenue, Bristol, BS8 1TL, UK
Email:R.Morris@Bristol.ac.uk Phone:0117 954 6948 Fax:0117 925 5624
The University of Bristol Astrophysics Group http://www.star.bris.ac.uk


Security Violations
=-=-=-=-=-=-=-=-=-=
Oct 2 07:13:46 sol sshd[12330]: [ID 800047 auth.info] Failed password for root from **** port 57274 ssh2
Oct 2 07:13:47 sol sshd[12334]: [ID 800047 auth.info] Failed password for invalid user fluffy from **** port 57311 ssh2
Oct 2 07:13:48 sol sshd[12338]: [ID 800047 auth.info] Invalid user admin from ****
Oct 2 07:13:48 sol sshd[12338]: [ID 800047 auth.info] Failed password for invalid user admin from **** port 57332 ssh2
Oct 2 07:13:50 sol sshd[12342]: [ID 800047 auth.info] Failed password for invalid user test from **** port 57358 ssh2
Oct 2 07:13:51 sol sshd[12346]: [ID 800047 auth.info] Failed password for invalid user guest from **** port 57385 ssh2
Oct 2 07:13:52 sol sshd[12350]: [ID 800047 auth.info] Failed password for invalid user webmaster from **** port 57400 ssh2
Oct 2 07:13:52 sol sshd[12354]: [ID 947420 auth.info] refused connect from h****.static.bashtel.ru





--
С уважением,
****,
ведущий инженер цеха IP-транспорта,
ЦТЭ ОАО «Башинформсвязь».
Тел. ****
e-mail: ****@ufamts.ru

вот такое вот сообщение пришло от провайдера

твои лини точно не порутали?

> в какую сторону копать?

в сторону всех трех машин, как проверить машины с линуксом писали тут https://lkml.org/lkml/2011/9/30/425 , а с виндавсом сами разбирайтесь

На счет порутали то как раз и хочется узнать, не знаю как проверить.dGhost, спасибо за ссылку ща проверим

Всё проблема решена, рассадник находился в папке /var/tmp удалил его и все стало пучком. Спасибо всем за помошь

Ты главное не забывай, что он не материализовался в /var/tmp сам собой.
Его туда кто то залил, а значить где то в сервере дырка: на сайте, в софте, etc.

Скажите в какую сторону копать?

в сторону

два сервера под линью

root права для запуска ssh брутфорса не обязательны, обычно через уязвимости в web скриптах заливают в /tmp скрипт на перле

Но тем не менее ядро и glibc все равно надо бы обновлять.

У меня был пользователь www-data без пароля, и ему было разрешено авторизовываться, по тупым брутом со внешки подрубились под этим пользователем и скачали скрипт. Дыру устранил будем дальше наблюдать

так это сугубо твоя вина

в любой нормальной системе www-data не должен иметь шелла кроме как false

надо кстати сильно умудриться было сделать какого либо юзера без пароля

как правило пустой пароль != безпарольный вход

поздно уже, систему надо переставлять

Ребят, а кто ни будь может помочь написать скрипт для брутфорса одного сайта, никакого криминала, все ради благих целей.

Брутфорса чего именно если не секрет?

> поздно уже, систему надо переставлять

И внутреннюю сеть помониторить.

Система норм:) почистил все... щас все пучком, ничего лишнего ни куда не бегает :) да и сетку после этого я проверил всё. тоже все норм.

Вы руткиты интуитивно определяете?

chkrootkit мне говорит, да и по логам несколько дней я проследил