Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 4 lipca 2025, 10:09

Posty bez odpowiedzi | Aktywne tematy


Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  Strona 1 z 1
  [ Posty: 14 ] 
  Podgląd wydruku Poprzedni temat | Następny temat 
Autor Wiadomość
albert_szpenio
Post: środa, 8 marca 2006, 10:47 
Offline

Rejestracja: czwartek, 2 marca 2006, 14:54
Posty: 67
Lokalizacja: tomaszow maz
sprawdzam coidziennie logi i dzisiaj w logu "Messages" znalazlem kilka wpisow ktore mnie zaniepokoily.

: [/] [] ()
Mar  7 07:34:41 router_nnd proftpd[11437]: router_nnd (200.215.8.33[200.215.8.33]) - FTP session opened.
Mar  7 07:34:42 router_nnd proftpd[11437]: router_nnd - FTP session closed
GeSHi © Codebox Plus



: [/] [] ()
Mar  7 22:09:20 router_nnd proftpd[15305]: router_nnd (217.146.137.37[217.146.137.37]) - FTP session opened.
Mar  7 22:09:20 router_nnd proftpd[15305]: router_nnd - FTP session closed.
GeSHi © Codebox Plus


jak widac sesje sa otwarte na sekunde a w drugim przypadku nawet nie na sekunde.

Nie wiem co mam o tym myslec ?

Jestem troche przewrazliwiony na punkcie bezpieczenstwa od sytyacji kiedy na swoim serwerze znalazlem ...podrobke strony logowania do serwisu PayPaal. Nie chce miec juz nieproszonych gosci na serwerze , ale nie chce tez zamykac ftp.

co myslicie o tych logach ? ?

_________________
Obrazek
Na górę
 Wyświetl profil  
 
MAC!EK
 Tytuł:
Post: środa, 8 marca 2006, 10:55 
Offline
MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa
sprawdź czy to oznacza zalogowanie czy tylko jego próbę

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .
Na górę
 Wyświetl profil  
 
albert_szpenio
 Tytuł:
Post: środa, 8 marca 2006, 11:05 
Offline

Rejestracja: czwartek, 2 marca 2006, 14:54
Posty: 67
Lokalizacja: tomaszow maz
MAC!EK pisze:
sprawdź czy to oznacza zalogowanie czy tylko jego próbę


ok..zrobilem probe - wpisalem adres serwera do klienta ftp u mnie na dysku dalem enter i od razu jak tylko wyskoczylo okno do podania usera dalem anuluj.

zapis w logu jest identyczny jak podany w 1 poscie.

Oznacza to - wedlug mnie - ze taki wpis jak wyzej zostaje odnotowany w logu po np. skanowaniu portu ? tak na moj chlopski rozumek :)))

ok. widze ze to akurat nie jest jakims problemem

dziekuje wiec [up]

_________________
Obrazek
Na górę
 Wyświetl profil  
 
MAC!EK
 Tytuł:
Post: środa, 8 marca 2006, 11:06 
Offline
MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa
możesz też przeskanować sobie port :> i zobaczy wpis w logu :)

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .
Na górę
 Wyświetl profil  
 
albert_szpenio
 Tytuł:
Post: środa, 8 marca 2006, 11:40 
Offline

Rejestracja: czwartek, 2 marca 2006, 14:54
Posty: 67
Lokalizacja: tomaszow maz
MAC!EK pisze:
możesz też przeskanować sobie port :> i zobaczy wpis w logu :)


dokladnie ten sam wpis po skanie portu.
tak wiec sprawa rozwiazana definitywnie :)

jednym slowek ktos robi jakies podchody, albo z ciekawosci skanuje porty...

nic - poki co jestem troche spokojniejszy - choc czujny pozostaje :)

dzieki <ok>

_________________
Obrazek
Na górę
 Wyświetl profil  
 
MAC!EK
 Tytuł:
Post: środa, 8 marca 2006, 12:16 
Offline
MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa
Jeśli masz mocne hasło to nie masz się co martwić

EOT

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .
Na górę
 Wyświetl profil  
 
adek-
 Tytuł:
Post: czwartek, 17 maja 2007, 21:04 
Offline

Rejestracja: piątek, 16 lutego 2007, 21:19
Posty: 19
Lokalizacja: Częstochowa
Witam, ja mam podobny problem ale nieco bardziej spamowaty i to od 2 tygodni.... log messages stwierdza.

Cytuj:
Mar 28 13:03:56 serwer proftpd[10856]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened.
Mar 28 13:03:56 serwer proftpd[10856]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator'
Mar 28 13:03:57 serwer last message repeated 2 times
Mar 28 13:03:57 serwer proftpd[10856]: serwer - FTP session closed.
Mar 28 13:03:57 serwer proftpd[10857]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened.
Mar 28 13:03:58 serwer proftpd[10857]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator'
Mar 28 13:03:58 serwer last message repeated 2 times
Mar 28 13:03:58 serwer proftpd[10857]: serwer - FTP session closed.
Mar 28 13:03:59 serwer proftpd[10858]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened.
Mar 28 13:03:59 serwer proftpd[10858]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator'
Mar 28 13:03:59 serwer last message repeated 2 times
Mar 28 13:03:59 serwer proftpd[10858]: serwer - FTP session closed.
Mar 28 13:04:00 serwer proftpd[10859]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened.
Mar 28 13:04:00 serwer proftpd[10859]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator'
Mar 28 13:04:01 serwer last message repeated 2 times
Mar 28 13:04:01 serwer proftpd[10859]: serwer - FTP session closed.
Mar 28 13:04:01 serwer proftpd[10860]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened.
Mar 28 13:04:01 serwer proftpd[10860]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator'
Mar 28 13:04:02 serwer last message repeated 2 times
Mar 28 13:04:02 serwer proftpd[10860]: serwer - FTP session closed.
Mar 28 13:04:02 serwer proftpd[10861]: serwer (207.58.201.147[207.58.201.147]) - FTP session opened.
Mar 28 13:04:02 serwer proftpd[10861]: serwer (207.58.201.147[207.58.201.147]) - no such user 'Administrator'
Mar 28 13:04:03 serwer last message repeated 2 times
Mar 28 13:04:03 serwer proftpd[10861]: serwer - FTP session closed.



jest tego mnóstwo i to chyba raczej nie jest przypadek?! Czy da sie jakos ograniczyc logowanie do ftp do paru razy i ban na 2h albo i dluzej ??

Mam rowniez takie wpisy i tez od cholery jak nie wiecej
Cytuj:
Mar 27 07:35:34 serwer proftpd[1785]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:34 serwer proftpd[1784]: serwer (190.40.21.14[190.40.21.14]) - no such user 'estefany'
Mar 27 07:35:35 serwer proftpd[1784]: serwer - FTP session closed.
Mar 27 07:35:35 serwer proftpd[1785]: serwer (190.40.21.14[190.40.21.14]) - no such user 'estela'
Mar 27 07:35:35 serwer proftpd[1786]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:35 serwer proftpd[1785]: serwer - FTP session closed.
Mar 27 07:35:35 serwer proftpd[1787]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:36 serwer proftpd[1786]: serwer (190.40.21.14[190.40.21.14]) - no such user 'estrella'
Mar 27 07:35:36 serwer proftpd[1786]: serwer - FTP session closed.
Mar 27 07:35:36 serwer proftpd[1787]: serwer (190.40.21.14[190.40.21.14]) - no such user 'eunices'
Mar 27 07:35:36 serwer proftpd[1788]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:36 serwer proftpd[1787]: serwer - FTP session closed.
Mar 27 07:35:37 serwer proftpd[1789]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:37 serwer proftpd[1788]: serwer (190.40.21.14[190.40.21.14]) - no such user 'eurika'
Mar 27 07:35:37 serwer proftpd[1788]: serwer - FTP session closed.
Mar 27 07:35:37 serwer proftpd[1789]: serwer (190.40.21.14[190.40.21.14]) - no such user 'evalene'
Mar 27 07:35:37 serwer proftpd[1790]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:37 serwer proftpd[1789]: serwer - FTP session closed.
Mar 27 07:35:38 serwer proftpd[1791]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:38 serwer proftpd[1790]: serwer (190.40.21.14[190.40.21.14]) - no such user 'evangelia'
Mar 27 07:35:38 serwer proftpd[1790]: serwer - FTP session closed.
Mar 27 07:35:38 serwer proftpd[1791]: serwer (190.40.21.14[190.40.21.14]) - no such user 'evenicia'
Mar 27 07:35:39 serwer proftpd[1792]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:39 serwer proftpd[1791]: serwer - FTP session closed.
Mar 27 07:35:39 serwer proftpd[1793]: serwer (190.40.21.14[190.40.21.14]) - FTP session opened.
Mar 27 07:35:39 serwer proftpd[1792]: serwer (190.40.21.14[190.40.21.14]) - no such user 'eyana'
Mar 27 07:35:39 serwer proftpd[1792]: serwer - FTP session closed.


Tutaj wydaje mi sie proba lamania hasla do ftpy metoda slownikowa.. cóż moge poczynic z takim obrotem sprawy? Odczowalem lagi na serwerze w lekkim stopniu i wydaje misie ze to moze byc tez przez proby laczenia sie ;/ Prosze o porade

_________________
The Problem Doesn't Lend Itself To Simple Solution...
Na górę
 Wyświetl profil  
 
Szurik
 Tytuł:
Post: czwartek, 17 maja 2007, 21:29 
Offline
Użytkownik

Rejestracja: wtorek, 18 kwietnia 2006, 10:58
Posty: 266
Lokalizacja: Rzeszów
panie jak ci ktoś po portach jedzie to tak wywala ze połączony rozłączony !


a to co -adek pokazuje to jest soft prubujacy wlamac sie :) atakuje cie wlamuje sie rozpakowuje i dalej atakuje z twego kompa robie w hostingu i i czasem mam logi po 100mb takiego syfu !
Na górę
 Wyświetl profil  
 
Szurik
 Tytuł:
Post: czwartek, 17 maja 2007, 21:33 
Offline
Użytkownik

Rejestracja: wtorek, 18 kwietnia 2006, 10:58
Posty: 266
Lokalizacja: Rzeszów
polecam zrobić sobie plik nadać mu prawa 777 i dopisywać

iptables -I INPUT -s 207.58.201.147 -j DROP

i masz święty spokój
Na górę
 Wyświetl profil  
 
JakubC
 Tytuł:
Post: czwartek, 17 maja 2007, 22:34 
Offline
PGF

Rejestracja: wtorek, 27 czerwca 2006, 14:09
Posty: 2112
Lokalizacja: Poznań
Roboty skanujące ftp. Pomóc może zmiana portu ftp (jednak nie jest to korzystne z paru względów), lub automatyczne blokowanie po iptables po którejś próbie takiego robota.

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań
Na górę
 Wyświetl profil  
 
adek-
 Tytuł:
Post: piątek, 18 maja 2007, 18:37 
Offline

Rejestracja: piątek, 16 lutego 2007, 21:19
Posty: 19
Lokalizacja: Częstochowa
Witam ponownie.
Cytuj:
polecam zrobić sobie plik nadać mu prawa 777 i dopisywać
iptables -I INPUT -s 207.58.201.147 -j DROP

Hmm zrobić plik czy moge sobie po prostu wkleic to do pliku firewall?

Ogólnie to przedsiewziolem pewne kroki i zrobilem skrypt wg czerwo

Cytuj:
http://forum.freesco.pl/viewtopic.php?t=10841


co mi dalo po jednym niu 4 megowy pliczek z adresami ip.... 8O ale to dotyczylo ssh a tutaj widac jak gosc probuje rowniez na ftp sie wbic... szuka hostingodawcy chyba :) Jest cos podobnego co blokuje dostep do ftp po kilku nieudanych probach ??

_________________
The Problem Doesn't Lend Itself To Simple Solution...
Na górę
 Wyświetl profil  
 
JakubC
 Tytuł:
Post: piątek, 18 maja 2007, 23:46 
Offline
PGF

Rejestracja: wtorek, 27 czerwca 2006, 14:09
Posty: 2112
Lokalizacja: Poznań
To chyba jedyne rozwiązanie, ale bardzo skuteczne. Sprawdź tylko czy dobrze poprawiłeś, bo za dużo tych adresów.

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań
Na górę
 Wyświetl profil  
 
adek-
 Tytuł:
Post: sobota, 26 maja 2007, 18:20 
Offline

Rejestracja: piątek, 16 lutego 2007, 21:19
Posty: 19
Lokalizacja: Częstochowa
No i cisza jak makiem zasiał... niestety musiałem zrobić białą liste adresów IP dla logujacych się przez ssh, co mnie troszke bolało zwłaszca wczoraj i dzisiaj - nie moglem sie dobić do serwera z terenu ;/ Skrypt czerwo jest ok i po ponad tygodniu pracy zbanowal 324 adresy ip LOL oraz zrobil b duzy plik logu. Niestety niewystarczajacy byl do zlikwidowania calego dziadostwa na stale.
Teraz chcial bym tylko jakis skrypt blokujacy ftp po 3 nieudanych logowaniach na godziny ma ktoś wymajstrowane cos takiego??

_________________
The Problem Doesn't Lend Itself To Simple Solution...
Na górę
 Wyświetl profil  
 
JakubC
 Tytuł:
Post: sobota, 26 maja 2007, 20:05 
Offline
PGF

Rejestracja: wtorek, 27 czerwca 2006, 14:09
Posty: 2112
Lokalizacja: Poznań
Bardzo prosto przerobić skrypt czerwa aby działał w ten sposób.

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań
Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  Strona 1 z 1
  [ Posty: 14 ] 

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 10 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl