Freesco, NND, CDN, EOS :: Wyświetl temat - Proba włamu na mój nowy serwerek?

May 28 08:35:34 zgodka sshd[10358]: error: Could not get shadow information for NOUSER
May 28 08:35:34 zgodka sshd[10358]: Failed password for invalid user john from 62.70.14.73 port 57077 ssh2
May 28 08:35:35 zgodka sshd[10360]: Invalid user word from 62.70.14.73
May 28 08:35:35 zgodka sshd[10360]: error: Could not get shadow information for NOUSER
May 28 08:35:35 zgodka sshd[10360]: Failed password for invalid user word from 62.70.14.73 port 57184 ssh2
May 28 08:35:36 zgodka sshd[10362]: Invalid user denise from 62.70.14.73
May 28 08:35:36 zgodka sshd[10362]: error: Could not get shadow information for NOUSER
May 28 08:35:36 zgodka sshd[10362]: Failed password for invalid user denise from 62.70.14.73 port 57319 ssh2
May 28 08:35:46 zgodka sshd[10364]: Invalid user diana from 62.70.14.73
May 28 08:35:46 zgodka sshd[10364]: error: Could not get shadow information for NOUSER
May 28 08:35:46 zgodka sshd[10364]: Failed password for invalid user diana from 62.70.14.73 port 57441 ssh2

May 28 06:01:15 zgodka sshd[9868]: error: Could not get shadow information for NOUSER
May 28 06:01:15 zgodka sshd[9868]: Failed password for invalid user staff from 125.208.3.44 port 54310 ssh2
May 28 06:01:26 zgodka sshd[9870]: Did not receive identification string from 125.208.3.44
May 28 06:01:36 zgodka sshd[9871]: Invalid user test from 61.143.38.56
May 28 06:01:36 zgodka sshd[9871]: error: Could not get shadow information for NOUSER
May 28 06:01:36 zgodka sshd[9871]: Failed password for invalid user test from 61.143.38.56 port 37814 ssh2
May 28 06:01:41 zgodka sshd[9873]: Invalid user test from 61.143.38.56
May 28 06:01:41 zgodka sshd[9873]: error: Could not get shadow information for NOUSER
May 28 06:01:41 zgodka sshd[9873]: Failed password for invalid user test from 61.143.38.56 port 37894 ssh2
May 28 06:01:43 zgodka sshd[9875]: Invalid user test from 61.143.38.56

May 28 00:57:18 zgodka sshd[9589]: Failed password for root from 87.244.192.153 port 47291 ssh2
May 28 00:57:24 zgodka sshd[9591]: Failed password for root from 87.244.192.153 port 47324 ssh2
May 28 00:57:28 zgodka sshd[9593]: Failed password for root from 87.244.192.153 port 47643 ssh2

May 26 03:09:32 zgodka sshd[4886]: Failed password for invalid user virus from 80.55.149.170 port 36343 ssh2
May 26 03:09:36 zgodka sshd[4888]: Invalid user cyrus from 80.55.149.170
May 26 03:09:36 zgodka sshd[4888]: error: Could not get shadow information for NOUSER
May 26 03:09:36 zgodka sshd[4888]: Failed password for invalid user cyrus from 80.55.149.170 port 36433 ssh2
May 26 03:09:40 zgodka sshd[4890]: Invalid user oracle from 80.55.149.170
May 26 03:09:40 zgodka sshd[4890]: error: Could not get shadow information for NOUSER
May 26 03:09:40 zgodka sshd[4890]: Failed password for invalid user oracle from 80.55.149.170 port 36519 ssh2
May 26 03:09:44 zgodka sshd[4892]: Invalid user michael from 80.55.149.170
May 26 03:09:44 zgodka sshd[4892]: error: Could not get shadow information for NOUSER
May 26 03:09:44 zgodka sshd[4892]: Failed password for invalid user michael from 80.55.149.170 port 36603 ssh2
May 26 03:09:48 zgodka sshd[4894]: Invalid user ftp from 80.55.149.170

Autor:	Anonymous [ sobota, 27 maja 2006, 22:08 ]
Tytuł:	Proba włamu na mój nowy serwerek?
Witam! Wczoraj przesiadłem się z Freesco na NND i jestem bardzo zadowolony. Na codzień pracuję w Archu Od rana jednak mój plik /var/log/auth wypełnia się komunikatami w stylu: May 27 20:18:59 mjmrouter sshd[5778]: Excess permission or bad ownership on file /var/log/btmp May 27 20:19:02 mjmrouter sshd[5780]: Invalid user lily from 125.246.48.194 May 27 20:19:02 mjmrouter sshd[5780]: Excess permission or bad ownership on file /var/log/btmp May 27 20:19:02 mjmrouter sshd[5780]: error: Could not get shadow information for NOUSER Wygląda na to, że jakiś gnojek mnie atakuje. Plik auth od rana urósł do 1.5 MB. Tych wpisów są setki (chyba korzysta z jakiegoś programu do włamów). Podaje debilne loginy - angielskie imiona albo nazwy krajów etc. Jak sobie z tym poradzić? Hasło na roota mam skomplikowane, nie do złamania metodą słownikową. Nie chcę wyłączać sshd, bo za kilka dni jadę do USA na 3 miechy i chcę mieć możliwość zdalnego sprawdzania, co się dzieje na serwerze. Oprócz tego mam też odpalone thttpd. Sprawdzałem w ripe.net numer IP i dostaję informacje o jakiejś organizacji http://www.iana.org. Co to w ogóle jest??

Autor:	Anonymous [ sobota, 27 maja 2006, 22:10 ]
Tytuł:
Ciekawi mnie też jak zostałem zlokalizowany? Od pół roku pod moim adresem chodziło Freesco w trybie 24/7 i nie było żadnych problemów. Zapisałem się wczoraj do uptime-project, może to dlatego

Autor:	Anonymous [ sobota, 27 maja 2006, 22:17 ]
Tytuł:
Przeskanowałem kolesiowi porty nmap'em i wynik jest taki: Interesting ports on 125.246.48.194: (The 1659 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 22/tcp open ssh 8080/tcp open http-proxy 9999/tcp open abyss 10000/tcp open snet-sensor-mgmt Jak się zemścić na jego ssh? [/i]

Autor:	czerwo [ niedziela, 28 maja 2006, 09:22 ]
Tytuł:
Wsylaja e-maila ze byla proba wlamania. Coraz bardziej mnie korci zeby napisac bałwan jestem ktora by przekierowywala ssh na ip tego co sie wlamuje :>pytanie czy to jest wykonalne

Autor:	KrzySie [ niedziela, 28 maja 2006, 11:21 ]
Tytuł:
Cytuj: Jak sobie z tym poradzić? Przekierowanie ssh na inny-wyższy port. Na forum już wałkowane.

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Proba włamu na mój nowy serwerek? http://forum.freesco.pl/viewtopic.php?f=22&t=12575	Strona 1 z 2

Autor:	tasiorek [ niedziela, 28 maja 2006, 13:21 ]
Tytuł:	Re: Proba włamu na mój nowy serwerek?
nowy_user pisze: Sprawdzałem w ripe.net numer IP i dostaję informacje o jakiejś organizacji http://www.iana.org. Co to w ogóle jest?? Ripe ma w swojej bazie tylko europe, bliski wschod i centralna azje. Reszte baz maja inne organizacuje, a iana jest jakby nadrzedna. Ta stronka powie Ci wiecej na ten temat: http://www.iana.org/ipaddress/ip-addresses.htm Co do podanego przez Ciebie adresu ip, to masz tu troche info, ale chyba za duzo Ci to nie da: [ ISP Organization Information ] Org Name : DACOM-PUBNETPLUS Service Name : PUBNETPLUS Org Address : Hangangro3ga. Yongsan-gu Org Detail Address: DACOM Bldg, 65-228 [ ISP Network Abuse Contact Information ] Name : Network Abuse Phone : +82-2-2089-5998 E-mail : security@bora.net

Autor:	TheL [ niedziela, 28 maja 2006, 14:40 ]
Tytuł:
a u mnie tez to samo: Cytuj: May 28 08:35:34 zgodka sshd[10358]: error: Could not get shadow information for NOUSER May 28 08:35:34 zgodka sshd[10358]: Failed password for invalid user john from 62.70.14.73 port 57077 ssh2 May 28 08:35:35 zgodka sshd[10360]: Invalid user word from 62.70.14.73 May 28 08:35:35 zgodka sshd[10360]: error: Could not get shadow information for NOUSER May 28 08:35:35 zgodka sshd[10360]: Failed password for invalid user word from 62.70.14.73 port 57184 ssh2 May 28 08:35:36 zgodka sshd[10362]: Invalid user denise from 62.70.14.73 May 28 08:35:36 zgodka sshd[10362]: error: Could not get shadow information for NOUSER May 28 08:35:36 zgodka sshd[10362]: Failed password for invalid user denise from 62.70.14.73 port 57319 ssh2 May 28 08:35:46 zgodka sshd[10364]: Invalid user diana from 62.70.14.73 May 28 08:35:46 zgodka sshd[10364]: error: Could not get shadow information for NOUSER May 28 08:35:46 zgodka sshd[10364]: Failed password for invalid user diana from 62.70.14.73 port 57441 ssh2 person: Fredrik Rovik address: ServeTheWorld AS address: Tvetenveien 152 address: N-0585 Oslo phone: +47 22 22 28 80 fax-no: +47 22 22 28 81 Cytuj: May 28 06:01:15 zgodka sshd[9868]: error: Could not get shadow information for NOUSER May 28 06:01:15 zgodka sshd[9868]: Failed password for invalid user staff from 125.208.3.44 port 54310 ssh2 May 28 06:01:26 zgodka sshd[9870]: Did not receive identification string from 125.208.3.44 May 28 06:01:36 zgodka sshd[9871]: Invalid user test from 61.143.38.56 May 28 06:01:36 zgodka sshd[9871]: error: Could not get shadow information for NOUSER May 28 06:01:36 zgodka sshd[9871]: Failed password for invalid user test from 61.143.38.56 port 37814 ssh2 May 28 06:01:41 zgodka sshd[9873]: Invalid user test from 61.143.38.56 May 28 06:01:41 zgodka sshd[9873]: error: Could not get shadow information for NOUSER May 28 06:01:41 zgodka sshd[9873]: Failed password for invalid user test from 61.143.38.56 port 37894 ssh2 May 28 06:01:43 zgodka sshd[9875]: Invalid user test from 61.143.38.56 Cytuj: May 28 00:57:18 zgodka sshd[9589]: Failed password for root from 87.244.192.153 port 47291 ssh2 May 28 00:57:24 zgodka sshd[9591]: Failed password for root from 87.244.192.153 port 47324 ssh2 May 28 00:57:28 zgodka sshd[9593]: Failed password for root from 87.244.192.153 port 47643 ssh2 person: Igor Kolla address: Razusova 1 address: 040 11 Košice address: Slovakia phone: +421 556 234 400 i nic im nie zrobie a tego w logach mam znaaaaacznie wiecej. i chyba mnie leca metoda slownikowa bo juz loginow prob z pierwszego ip mam od ch.. i ogromne logi a np: 80.55.149.170 inetnum: 80.55.149.168 - 80.55.149.171 netname: FIRMAKIKI descr: FIRMA"KI" KLEMENS IMIOLA descr: KOSZALIN descr: POLAND Cytuj: May 26 03:09:32 zgodka sshd[4886]: Failed password for invalid user virus from 80.55.149.170 port 36343 ssh2 May 26 03:09:36 zgodka sshd[4888]: Invalid user cyrus from 80.55.149.170 May 26 03:09:36 zgodka sshd[4888]: error: Could not get shadow information for NOUSER May 26 03:09:36 zgodka sshd[4888]: Failed password for invalid user cyrus from 80.55.149.170 port 36433 ssh2 May 26 03:09:40 zgodka sshd[4890]: Invalid user oracle from 80.55.149.170 May 26 03:09:40 zgodka sshd[4890]: error: Could not get shadow information for NOUSER May 26 03:09:40 zgodka sshd[4890]: Failed password for invalid user oracle from 80.55.149.170 port 36519 ssh2 May 26 03:09:44 zgodka sshd[4892]: Invalid user michael from 80.55.149.170 May 26 03:09:44 zgodka sshd[4892]: error: Could not get shadow information for NOUSER May 26 03:09:44 zgodka sshd[4892]: Failed password for invalid user michael from 80.55.149.170 port 36603 ssh2 May 26 03:09:48 zgodka sshd[4894]: Invalid user ftp from 80.55.149.170 tez mi leci po roznych loginach musze chyba kopie serwera zaraz zrobic i zmienic hasla na znacznie dluzsze bo troszke szkoda po raz kolejny tracic czas na stawianie tego.

Autor:	czerwo [ niedziela, 28 maja 2006, 14:53 ]
Tytuł:
ja mam skrypt i mi aldnie dopisuje te ip i blokuje i swiety spokoj

Autor:	TheL [ niedziela, 28 maja 2006, 15:00 ]
Tytuł:
a mozesz go pokazac ?

Autor:	czerwo [ niedziela, 28 maja 2006, 15:03 ]
Tytuł:
jest na forum

Autor:	TheL [ niedziela, 28 maja 2006, 15:53 ]
Tytuł:
tasiorek czytalem go juz kilkaset razy i nawet z niego pdfa zrobilem (jest w moim opisie) ale za nic nie potrafie tego znalezc

Autor:	czerwo [ niedziela, 28 maja 2006, 16:01 ]
Tytuł:
tasiorek pisze: TheL pisze: tasiorek czytalem go juz kilkaset razy A wystarczylo raz, ale za to uwaznie. nawet nie uwaznie ctrl + F ssh i sie jakos znalazlo dziwne moze dopisales??

Autor:	TheL [ niedziela, 28 maja 2006, 16:48 ]
Tytuł:
czytalem od poczatku do konca przed chwila, nawet sobie wydrukowalem i nadal nic powiedzcie ktory punkt

Autor:	TheL [ niedziela, 28 maja 2006, 16:53 ]
Tytuł:
o kurde moje -5,5 dpi chyba daje mi sie we znaki.

Autor:	czerwo [ niedziela, 28 maja 2006, 15:56 ]
Tytuł:
45. Zauważyłem, że w logach mam dużo informacji, o nieudanych próbach zalogowania się. Ktoś się próbuje do mnie włamać? Najprawdopodobniej jakiś automat. Rozwiązań jest kilka: całkowite zablokowanie dostępu do ssh z zewnątrz, zmiana portu, na którym działa ssh, albo skrypt Czerwa: http://forum.freesco.pl/viewtopic.php?t=10841 (najlepiej stosować w połączeniu ze zmianą portu)

Autor:	Koriolan [ poniedziałek, 29 maja 2006, 12:07 ]
Tytuł:
Można to zgłaszać na cert: http://www.cert.pl/ Na pewno coś z tym robią, a przynajmniej wysyłają ostrzeżenia

Strona 1 z 2	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/