[ботнеты]меня брутфорсили

0

1

               
Feb  2 22:18:31 kurlaev-netbook sshd[12252]: reverse mapping checking getaddrinfo for 121.242.15.135.static-kolkata.vsnl.net.in [121.242.15.135] failed - POSSIBLE BREAK-IN ATTEMPT!                                                                              
Feb  2 22:18:31 kurlaev-netbook sshd[12252]: Invalid user oracle from 121.242.15.135                                             
Feb  2 22:18:35 kurlaev-netbook sshd[12257]: reverse mapping checking getaddrinfo for 121.242.15.135.static-kolkata.vsnl.net.in [121.242.15.135] failed - POSSIBLE BREAK-IN ATTEMPT!                                                                              
Feb  2 22:18:35 kurlaev-netbook sshd[12257]: Invalid user test from 121.242.15.135                                               
Feb  3 03:52:48 kurlaev-netbook sshd[18604]: Did not receive identification string from 119.62.128.113                           
Feb  4 00:53:51 kurlaev-netbook sshd[25258]: Did not receive identification string from 202.106.212.231                          
Feb  4 03:06:00 kurlaev-netbook sshd[3469]: Did not receive identification string from 221.122.58.228                            
Feb  9 02:26:38 kurlaev-netbook sshd[3645]: Invalid user oracle from 168.126.28.24                                               
Feb  9 02:26:40 kurlaev-netbook sshd[3651]: Invalid user test from 168.126.28.24                                                 
Feb  9 02:26:43 kurlaev-netbook sshd[3655]: Invalid user guest from 168.126.28.24                                                
Feb  9 02:26:45 kurlaev-netbook sshd[3662]: Invalid user marta from 168.126.28.24                                                
Feb  9 02:26:47 kurlaev-netbook sshd[3669]: Invalid user anti from 168.126.28.24                                                 
Feb  9 02:26:49 kurlaev-netbook sshd[3673]: Invalid user dragon from 168.126.28.24                                               
Feb  9 02:26:52 kurlaev-netbook sshd[3680]: Invalid user test from 168.126.28.24                                                 
Feb  9 02:26:54 kurlaev-netbook sshd[3685]: Invalid user backup from 168.126.28.24                                               
Feb  9 02:26:59 kurlaev-netbook sshd[3695]: Invalid user mike from 168.126.28.24                                                 
Feb  9 02:27:04 kurlaev-netbook sshd[3703]: Invalid user mythtv from 168.126.28.24                                               
Feb  9 02:27:24 kurlaev-netbook sshd[3729]: Invalid user gnax from 168.126.28.24                                                 
Feb  9 02:27:32 kurlaev-netbook sshd[3741]: Invalid user mythtv from 168.126.28.24                                               
Feb  9 02:27:36 kurlaev-netbook sshd[3751]: Invalid user upload from 168.126.28.24                                               
Feb  9 02:27:38 kurlaev-netbook sshd[3759]: Invalid user status from 168.126.28.24                                               
Feb  9 02:27:43 kurlaev-netbook sshd[3767]: Invalid user tomcat from 168.126.28.24                                               
Feb  9 02:27:45 kurlaev-netbook sshd[3772]: Invalid user postgres from 168.126.28.24                                             
Feb  9 02:27:48 kurlaev-netbook sshd[3777]: Invalid user anonymous from 168.126.28.24                                            
Feb  9 02:27:50 kurlaev-netbook sshd[3782]: Invalid user worker from 168.126.28.24                                               
Feb  9 02:27:52 kurlaev-netbook sshd[3787]: Invalid user craig from 168.126.28.24                                                
Feb  9 02:27:54 kurlaev-netbook sshd[3792]: Invalid user webmaster from 168.126.28.24                                            
Feb  9 02:27:57 kurlaev-netbook sshd[3796]: Invalid user user from 168.126.28.24                                                 
Feb  9 02:28:04 kurlaev-netbook sshd[3817]: Invalid user michael from 168.126.28.24                                              
Feb  9 02:28:06 kurlaev-netbook sshd[3822]: Invalid user short from 168.126.28.24                                                
Feb  9 02:28:09 kurlaev-netbook sshd[3828]: Invalid user admin from 168.126.28.24                                                
Feb  9 02:28:13 kurlaev-netbook sshd[3847]: Invalid user music from 168.126.28.24                                                
Feb  9 02:28:15 kurlaev-netbook sshd[3853]: Invalid user jessie from 168.126.28.24                                               
Feb  9 02:28:18 kurlaev-netbook sshd[3861]: Invalid user notes from 168.126.28.24                                                
Feb  9 02:28:20 kurlaev-netbook sshd[3868]: Invalid user turbo from 168.126.28.24                                                
Feb  9 02:28:23 kurlaev-netbook sshd[3874]: Invalid user usuario from 168.126.28.24                                              
Feb  9 02:28:25 kurlaev-netbook sshd[3878]: Invalid user spamfiltrer from 168.126.28.24
Feb  9 02:28:28 kurlaev-netbook sshd[3882]: Invalid user elite from 168.126.28.24
Feb  9 02:28:30 kurlaev-netbook sshd[3887]: Invalid user ftpuser from 168.126.28.24
Feb  9 02:28:32 kurlaev-netbook sshd[3891]: Invalid user radmin from 168.126.28.24
Feb  9 02:28:35 kurlaev-netbook sshd[3895]: Invalid user portal from 168.126.28.24
Feb  9 02:28:38 kurlaev-netbook sshd[3899]: Invalid user master from 168.126.28.24
Feb  9 02:28:40 kurlaev-netbook sshd[3903]: Invalid user sales from 168.126.28.24
Feb  9 02:28:42 kurlaev-netbook sshd[3907]: Invalid user util1 from 168.126.28.24
Feb  9 02:28:45 kurlaev-netbook sshd[3911]: Invalid user anthony from 168.126.28.24
Feb 10 23:00:03 kurlaev-netbook sshd[10381]: Invalid user place from 88.208.232.46
Feb 10 23:00:11 kurlaev-netbook sshd[10420]: Invalid user sky from 88.208.232.46
Feb 10 23:00:13 kurlaev-netbook sshd[10423]: Invalid user palekar from 88.208.232.46
Feb 10 23:00:19 kurlaev-netbook sshd[10437]: Invalid user vic12opq from 88.208.232.46
Feb 10 23:00:21 kurlaev-netbook sshd[10440]: Invalid user cpanel from 88.208.232.46

В общем, я, как ССЗБ, зачем-то переадресовал на роутере 22-ой порт прямо себе в нетбук и недавно обнаружил в логах вот такое вот. Начинается в логах всё 17 января, а конец вы видите. Вроде по этим же логам, пройти они не смогли.

Что это за ботнет? Троян, червь или что это? Я нмапил несколько адресов, на них всех линуксы с сш, на одном было что-то оракловское даже, ещё запомнил, что на одном нмап сказал, что ядро скорее всего 2.6.18.

И почему они не пытались тупо подобрать пароль рута?

Может как-то можно сказать админам тех серверов, чтобы безопасность улучшили?)

И зачем им таки мой нетбук? Мой ип, конечно, гуглится, в том числе на лоре. Но они что, грепают весь интернет? Или сканят все ип подряд?

Ссылка

←	[ОН][хабр] 13" ноутбук на ARM

[лента.сру]генерал мороз

→

Показаны ответы на комментарий. Показать все комментарии.

Ответ на: комментарий от svr4 18.02.10 17:47:15 UTC

> Да, как-то ради ржача выставил в интернеты ssh от PowerMac 8200, потом долго ржал, наблюдая за попытками дебилов запустить червяка из x86-бинаря. gcc там не было.

вот у меня тоже возникла мысль похожая -
поднять в виртуалке какой-нить огороженный по самые помидоры gentoo-hardened или centos с selinux, создать пачкую юзеров admin/admin, выставить ssh, telnet, еще может что корявое..., отгородить все в правах по максимуму но gcc оставить - пусть канпилят сплойты))
сломают интересно или нет?

r0mik ★
(18.02.10 20:37:42 UTC)

Ответ на: комментарий от r0mik 18.02.10 20:37:42 UTC

есть классика 1997 года, fakebo для unix
эмулировало оно наличие трояна-бэкдора backoriffice
было интереснее чем смотреть на «логику» червя, там все было вручную )

Sylvia ★★★★★
(18.02.10 21:24:17 UTC)

Ответ на: комментарий от Sylvia 18.02.10 21:24:17 UTC

>эмулировало оно наличие трояна-бэкдора backoriffice

Помню, в конце 1990-х некоторые извращенцы хитро делали. Оставляли эмулятор виндовой сети или открытого ftp, торчащих голой попой в Интернет и оставляли там всякие porno.exe с троянами. Метод ленивой рыбы. Горе-хакеры, насканировав «уязвимость», лезли туда, радовались спёртому частному порно и сажали себе троянов :)

~~KRoN73~~ ★★★★★
(18.02.10 21:30:43 UTC)

Ссылка

Ответ на: комментарий от Sylvia 18.02.10 21:24:17 UTC

> fakebo
погуглил. хм, это ж нада че придумали))

8095

Это за 12 часов на моей домашней машине :)

оно же нехило садит i/o, syslogd же по дефолту синкает каждую запись. выходит ~11 синков в минуту блин

А как с чужой машины входить?

в голове держать или набить наколку на крайняк))

r0mik ★
(18.02.10 21:38:53 UTC)

Ответ на: комментарий от r0mik 18.02.10 21:38:53 UTC

тоесть не каждую конечно, а auth и criticl.....

r0mik ★
(18.02.10 21:42:01 UTC)

Ссылка

Ответ на: комментарий от r0mik 18.02.10 21:38:53 UTC

>> fakebo

погуглил. хм, это ж нада че придумали))

придумали, троянов тогда было всего 2, BO и Netbus, fakebo поддерживает и то и другое, распространяли троянчики методами социальной инженерии, т.е. жертву надо было уговорить на запуск исполняемого файла

это потом уже стали появляться другие трояны с сканированием на уязвимости и самостоятельным внедрением

Sylvia ★★★★★
(18.02.10 21:42:32 UTC)

Ссылка

Ответ на: комментарий от r0mik 18.02.10 20:37:42 UTC

уже ~10 часов как стоит голой опой в интернет admin/admin, guest/guest и т.п. - никто не брутит. вот незадача))

r0mik ★
(19.02.10 09:28:25 UTC)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[ОН][хабр] 13" ноутбук на ARM

Talks

[лента.сру]генерал мороз

→

Похожие темы