Кому я нужен?

0

0

Сегодня утром поднял на десктопе ftp-сервер и ушел на работу. Вечером обнаружил что с двух айпишников кто-то ломился ко мне использую логин «Administrator»:

 $ sudo sed -n 's/^.*FAIL.* \([^ ]*\)$/\1/pg' /var/log/vsftpd.log | uniq
"60.8.11.54"
"209.82.10.146"
 $ sudo egrep 'FAIL' /var/log/vsftpd.log | wc -l
729
 $

Явно кто-то усердный. IP у меня постоянный вот уже три года. Ничего серверного обычно не крутится...

Вопрос первый: как кто-то вообще набрел на мою машинку? Вопрос второй: чего он хотел? Вопрос третий: где openssh-server в убунте хранит логи? Может быть и там чего интересное найдется... С конфигами openssh-server по-умолчанию в убунте и стойким паролем можно спокойно жить? Или надо дополнительно усиливать защиту?

Ссылка

←

Рассказик

[кодировка] PёP½P¾P...

→

Судя по всему какой то школьник начитавшийся хакера

bioreactor ★★★★★
(20.08.09 20:53:33 MSD)

Ссылка

http://whois.domaintools.com/60.8.11.54
http://whois.domaintools.com/209.82.10.146

matich ★
(20.08.09 20:55:43 MSD)

Ответ на: комментарий от matich 20.08.09 20:55:43 MSD

Вопрос не в том, кому IP принадлежит, а в том, как узнал мой IP, и зачем ему это надо?

~~I_am_milk~~
(20.08.09 20:58:30 MSD) автор топика

http://www.linux.org.ru/view-message.jsp?msgid=3284263

/var/log/auth.log

Самое простое - сменить стандартные порты (21,22) на что-нибудь иное (x21, x22).

~~Paul_N~~
(20.08.09 21:02:07 MSD)

Ответ на: комментарий от I_am_milk 20.08.09 20:58:30 MSD

> как узнал мой IP

Регулярно автоматически сканирует порты по большому диапазону IP.

> зачем ему это надо?

Говорят, ботнет из линуксовых компьютеров стоит гораздо дороже.

question4 ★★★★★
(20.08.09 21:02:11 MSD)

Ответ на: комментарий от I_am_milk 20.08.09 20:58:30 MSD

> Кому я нужен?

Ты лично никому нахрен не нужен, можешь повеситься сегодня же. Нужен твой комп, который после взлома будет использоваться для рассылки спама и прочих грязных дел. Да, это бот, естественно.

На любом сервере при просмотре auth.log становиться страшно.

~~Paul_N~~
(20.08.09 21:04:39 MSD)

Ссылка

Ответ на: комментарий от Paul_N 20.08.09 21:02:07 MSD

> /var/log/auth.log

Aug 20 11:05:47 sshd[16384]: Did not receive identification string from 202.109.242.18

Вот негодяи... И туда полезли.

~~I_am_milk~~
(20.08.09 21:06:07 MSD) автор топика

Ссылка

Ответ на: комментарий от question4 20.08.09 21:02:11 MSD

> Говорят, ботнет из линуксовых компьютеров стоит гораздо дороже.

>>> кто-то ломился ко мне использую логин "Administrator"

Не похоже. :)

Ruth ★★
(20.08.09 21:24:54 MSD)

Ссылка

конкретно - никому. это автоматический паук, высматривающий открытые порты и ломящийся туда.

перевесил как-то ссх-порт обратно на 22-ой, нужно было зачем-то. ну и забыл. на следующий день смотрю - использование процессора 100%, работает вот такой вот поисковик. лежат где-то в /tmp всякие исходники и бинари, конфиги, и файл с логинами-паролями уже готовых машинок. оказалось - пароль от postgres забыл с дефолтного поменять. а в арче, емнип, при установке не спрашивает, как для mysql.

короче, сохранил всю эту бодягу на память, посмотрел chkrootkit и закрыл все обратно. познавательно.

volh ★★
(20.08.09 21:26:59 MSD)

Ссылка

Ответ на: комментарий от question4 20.08.09 21:02:11 MSD

>>кто-то ломился ко мне использую логин "Administrator" >Говорят, ботнет из линуксовых компьютеров стоит гораздо дороже.

пацан к успеху шел

stormy ★
(20.08.09 21:28:20 MSD)

Ссылка

Ответ на: комментарий от question4 20.08.09 21:02:11 MSD

>Говорят, ботнет из линуксовых компьютеров стоит гораздо дороже.

как-то вывесил в разделе "скриншоты" на bbs.archlinux.org ссылку на картинку на своем сервере ( ага, они не копируют ). и в течение приблизительно недели собирал айпишники линуксовых машин. потом провел небольшое исследование - где-то у 30% есть откровенно слабые места, к 15% прям сразу можно залогиниться под каким-нибудь служебным акком с дефолтовым паролем. такие дела )

volh ★★
(20.08.09 21:29:42 MSD)

Ответ на: комментарий от volh 20.08.09 21:29:42 MSD

ну, это понятное дело, учитывая людей, у которых реальный ip прямо на компе, которые ходят не через нат. а таких меньшинство. но все равно весело.

volh ★★
(20.08.09 21:31:39 MSD)

Ссылка

У меня год назад на одном серваке с открытым портом SSH начали тупо перебирать пароли с бешеной скоростю, рут все равно закрыт и пароль сложный но все равно как то не по себе было, по этому разрешил стукать на SSH только с моих айпишок и после этого только и откидывает их айпишки до сегодня, при том что с одной айпи стукнуло 2-3 раза и начинает с другой (там в логах уже наверное несколько десятков тисяч разных айпи насобиралось)

sansei ☆
(20.08.09 21:58:45 MSD)

банить их надо после трех попыток ввода пароля на месяц!

~~Ab-1~~
(20.08.09 22:33:04 MSD)

Ссылка

Ответ на: комментарий от volh 20.08.09 21:29:42 MSD

>> ботнет из линуксовых компьютеров

> где-то у 30% есть откровенно слабые места, к 15% прям сразу можно залогиниться под каким-нибудь служебным акком с дефолтовым паролем

Дороже не потому, что его сложнее заполучить, а потому, что там обычно уже установлены всякие "хакерские инструменты" и скриптовые языки.

question4 ★★★★★
(21.08.09 01:38:43 MSD)

Ссылка

Ответ на: комментарий от sansei 20.08.09 21:58:45 MSD

>>У меня год назад на одном серваке с открытым портом SSH начали тупо перебирать пароли с бешеной скоростю

$ iptables-save | grep BRUTE
:BRUTE - [0:0]
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT

Dao_Dezi ★
(21.08.09 06:13:26 MSD)

Ссылка

fail2ban доставит

dhameoelin ★★★★★
(21.08.09 08:15:46 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

Рассказик

Talks

[кодировка] PёP½P¾P...

→

Похожие темы