Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

BBB anklagar mig för intrångsförsök.

1
Skriv svar
Permalänk
Medlem

BBB anklagar mig för intrångsförsök.

Hej,

Jag har fått brev från BBB som anklagar mig för intrångsförsök. Efter att ha tjatat lite på dom har ja till slut kommit över en någotsånär vettig loggfil. Jag har 1 brandvägg som köp IP-Cop en server som kör Fedora linux och en som kör NT4. Linuxburken är web, dns, sql och ftpserver. NT4an kör mail med kerio mailserver 5.7.10.

Har ni några teorier om vad som kan skapa dom här problemen?

Loggen nedan. Min ipadress är utbytt.

Here is a short sample of the attack log:

Jan 19 20:51:11 frametic sshd[9022]: Illegal user webmaster from
[MIN IP-ADRESS] Jan 19 20:51:12 frametic sshd[9026]: Illegal user ftp from
[MIN IP-ADRESS] Jan 19 20:51:13 frametic sshd[9028]: Illegal user sales from
[MIN IP-ADRESS] Jan 19 20:51:17 frametic sshd[9031]: Illegal user admin from
[MIN IP-ADRESS] Jan 19 20:51:18 frametic sshd[9033]: Illegal user andrea from
[MIN IP-ADRESS] Jan 19 20:51:20 frametic sshd[9037]: Illegal user guest from
[MIN IP-ADRESS] Jan 19 20:51:21 frametic sshd[9039]: Illegal user guest1 from
[MIN IP-ADRESS] Jan 19 20:51:21 frametic sshd[9041]: Illegal user guest2 from
[MIN IP-ADRESS] Jan 19 20:51:22 frametic sshd[9043]: Illegal user guest3 from
[MIN IP-ADRESS] Jan 19 20:51:23 frametic sshd[9045]: Illegal user guest4 from
[MIN IP-ADRESS] Jan 19 20:51:23 frametic sshd[9047]: Illegal user guest5 from
[MIN IP-ADRESS] Jan 19 20:51:24 frametic sshd[9049]: Illegal user guest6 from
[MIN IP-ADRESS] Jan 19 20:51:25 frametic sshd[9051]: Illegal user guest7 from
[MIN IP-ADRESS] Jan 19 20:51:26 frametic sshd[9053]: Illegal user guest8 from
[MIN IP-ADRESS] Jan 19 20:51:26 frametic sshd[9055]: Illegal user guest9 from
[MIN IP-ADRESS] Jan 19 20:51:27 frametic sshd[9057]: Illegal user guest10 from
[MIN IP-ADRESS] Jan 19 20:51:28 frametic sshd[9059]: Illegal user michael from
[MIN IP-ADRESS] Jan 19 20:51:29 frametic sshd[9061]: Illegal user gigi from
[MIN IP-ADRESS] Jan 19 20:51:32 frametic sshd[9063]: Illegal user france from
[MIN IP-ADRESS] Jan 19 20:51:33 frametic sshd[9066]: Illegal user raider from
[MIN IP-ADRESS]

-------------------

Jan 20 17:17:05 calvin sshd[29806]: Did not receive identification string
from [MIN IP-ADRESS] Jan 20 17:43:39 calvin sshd[29834]: Illegal user
webmaster from

[MIN IP-ADRESS]

Jan 20 17:43:42 calvin sshd[29834]: error: Could not get shadow information
for NOUSER Jan 20 17:43:42 calvin sshd[29834]: Failed password for illegal
user webmaster from [MIN IP-ADRESS] port 48337 ssh2 Jan 20 17:43:43 calvin
sshd[29836]: Failed password for root from

[MIN IP-ADRESS] port 48493 ssh2

Jan 20 17:43:44 calvin sshd[29838]: Failed password for ftp from

[MIN IP-ADRESS] port 48533 ssh2

Jan 20 17:43:45 calvin sshd[29840]: Illegal user sales from [MIN IP-ADRESS]
Jan 20 17:43:45 calvin sshd[29840]: error: Could not get shadow information
for NOUSER Jan 20 17:43:45 calvin sshd[29840]: Failed password for illegal
user sales from [MIN IP-ADRESS] port 48551 ssh2 Jan 20 17:43:46 calvin
sshd[29842]: Illegal user admin from [MIN IP-ADRESS] Jan 20 17:43:46 calvin
sshd[29842]: error: Could not get shadow information for NOUSER Jan 20
17:43:46 calvin sshd[29842]: Failed password for illegal user admin from
[MIN IP-ADRESS] port 48569 ssh2 Jan 20 17:43:50 calvin sshd[29844]: Illegal
user andrea from [MIN IP-ADRESS] Jan 20 17:43:50 calvin sshd[29844]: error:
Could not get shadow information for NOUSER Jan 20 17:43:50 calvin
sshd[29844]: Failed password for illegal user andrea from [MIN IP-ADRESS] port
48593 ssh2 Jan 20 17:43:51 calvin sshd[29846]: Failed password for backup
from

[MIN IP-ADRESS] port 48737 ssh2

Jan 20 17:43:55 calvin sshd[29848]: Illegal user guest from [MIN IP-ADRESS]
Jan 20 17:43:55 calvin sshd[29848]: error: Could not get shadow information
for NOUSER Jan 20 17:43:55 calvin sshd[29848]: Failed password for illegal
user guest from [MIN IP-ADRESS] port 48769 ssh2 Jan 20 17:43:56 calvin
sshd[29850]: Illegal user guest1 from [MIN IP-ADRESS] Jan 20 17:43:56 calvin
sshd[29850]: error: Could not get shadow information for NOUSER Jan 20
17:43:56 calvin sshd[29850]: Failed password for illegal user

guest1 from [MIN IP-ADRESS] port 48911 ssh2 Jan 20 17:43:56 calvin
sshd[29852]: Illegal user guest2 from [MIN IP-ADRESS] Jan 20 17:43:56 calvin
sshd[29852]: error: Could not get shadow information for NOUSER Jan 20
17:43:56 calvin sshd[29852]: Failed password for illegal user

guest2 from [MIN IP-ADRESS] port 48936 ssh2

---------------------

Timezone is CET

UIDL Date Source Destination Port Protocole Nombre ASN Pays

43d0628c000047c1 19/01/2006 08:44 [MIN IP-ADRESS] cnrs-imn.fr 22 tcp 184 8642
se

43d059e9000047be 19/01/2006 07:49 [MIN IP-ADRESS] univ-tlse1.fr 22 tcp 1789
8642 se

43d0826000004805 19/01/2006 08:11 [MIN IP-ADRESS] univ-metz.fr 22 tcp 21 8642
se

------------------------

Security Violations

=-=-=-=-=-=-=-=-=-=

Jan 31 20:59:35 serv4 sshd[5537]: Failed password for root from

[MIN IP-ADRESS] port 38873 ssh2

Jan 31 20:59:45 serv4 sshd[5655]: Failed password for backup from

[MIN IP-ADRESS] port 39368 ssh2

Jan 31 21:00:52 serv4 sshd[7133]: Failed password for postgres from

[MIN IP-ADRESS] port 42622 ssh2

Jan 31 21:01:16 serv4 sshd[7441]: Failed password for root from

[MIN IP-ADRESS] port 43914 ssh2

Jan 31 21:01:17 serv4 sshd[7454]: Failed password for root from

[MIN IP-ADRESS] port 43968 ssh2

Jan 31 21:01:18 serv4 sshd[7470]: Failed password for root from

[MIN IP-ADRESS] port 44020 ssh2

Jan 31 21:01:19 serv4 sshd[7481]: Failed password for root from

[MIN IP-ADRESS] port 44076 ssh2

Jan 31 21:01:20 serv4 sshd[7488]: Failed password for root from

[MIN IP-ADRESS] port 44123 ssh2

Jan 31 21:01:20 serv4 sshd[7498]: Failed password for root from

-------------------------------

Feb 1 12:53:24 www sshd[22541]: Failed password for mail from
::ffff:[MIN IP-ADRESS] port

47937 ssh2

Feb 1 12:53:24 www sshd[22543]: Failed password for operator from
::ffff:[MIN IP-ADRESS] port 48364 ssh2 Feb 1 12:53:25 www sshd[22545]: Invalid
user postmaster from ::ffff:[MIN IP-ADRESS] Feb 1 12:53:25 www sshd[22545]:
error: Could not get shadow information for NOUSER Feb 1 12:53:25 www
sshd[22545]: Failed password for invalid user postmaster from

::ffff:[MIN IP-ADRESS] port 48386 ssh2

Feb 1 12:53:26 www sshd[22547]: Invalid user melanie from
::ffff:[MIN IP-ADRESS] Feb 1 12:53:26 www sshd[22547]: error: Could not get
shadow information for NOUSER Feb 1 12:53:26 www sshd[22547]: Failed
password for invalid user melanie from

::ffff:[MIN IP-ADRESS] port 48416 ssh2

Feb 1 12:53:27 www sshd[22549]: Invalid user dennis from
::ffff:[MIN IP-ADRESS] Feb 1 12:53:27 www sshd[22549]: error: Could not get
shadow information for NOUSER Feb 1 12:53:27 www sshd[22549]: Failed
password for invalid user dennis from

::ffff:[MIN IP-ADRESS] port 48442 ssh2

Feb 1 12:53:27 www sshd[22551]: Invalid user oracle from
::ffff:[MIN IP-ADRESS] Feb 1 12:53:27 www sshd[22551]: error: Could not get
shadow information for NOUSER Feb 1 12:53:27 www sshd[22551]: Failed
password for invalid user oracle from

::ffff:[MIN IP-ADRESS] port 48470 ssh2

Feb 1 12:53:28 www sshd[22553]: Invalid user arnold from
::ffff:[MIN IP-ADRESS] Feb 1 12:53:28 www sshd[22553]: error: Could not get
shadow information for NOUSER Feb 1 12:53:28 www sshd[22553]: Failed
password for invalid user arnold from

-----------------------------------

Jan 30 16:10:49 [sshd] Invalid user bebe from [MIN IP-ADRESS]

Jan 30 16:10:52 [sshd] Invalid user antonio from [MIN IP-ADRESS]

Jan 30 16:10:58 [sshd] Invalid user archive from [MIN IP-ADRESS]

Jan 30 16:10:59 [sshd] Invalid user cathy from [MIN IP-ADRESS]

Jan 30 16:11:00 [sshd] Invalid user alex from [MIN IP-ADRESS]

Jan 30 16:11:01 [sshd] Invalid user download from [MIN IP-ADRESS]

Jan 30 16:11:02 [sshd] Invalid user eric from [MIN IP-ADRESS]

Jan 30 16:11:03 [sshd] Invalid user gaby from [MIN IP-ADRESS]

Jan 30 16:11:04 [sshd] Invalid user beer from [MIN IP-ADRESS]

Jan 30 16:11:05 [sshd] Invalid user mp3 from [MIN IP-ADRESS]

Jan 30 16:11:06 [sshd] Invalid user ghost from [MIN IP-ADRESS]

Jan 30 16:11:07 [sshd] Invalid user virus from [MIN IP-ADRESS]

Jan 30 16:11:08 [sshd] Invalid user gloria from [MIN IP-ADRESS]

Jan 30 16:11:09 [sshd] Invalid user erwin from [MIN IP-ADRESS]

Jan 30 16:11:10 [sshd] Invalid user update from [MIN IP-ADRESS]

Jan 30 16:11:11 [sshd] Invalid user kiss from [MIN IP-ADRESS]

Jan 30 16:11:12 [sshd] Invalid user army from [MIN IP-ADRESS]

Jan 30 16:11:13 [sshd] Invalid user andreas from [MIN IP-ADRESS]

Jan 30 16:11:14 [sshd] Invalid user jojo from [MIN IP-ADRESS]

Jan 30 16:11:18 [sshd] Invalid user service from [MIN IP-ADRESS]

Jan 30 16:13:33 [sshd] Invalid user user1 from [MIN IP-ADRESS]

Jan 30 16:13:34 [sshd] Invalid user user2 from [MIN IP-ADRESS]

Jan 30 16:13:35 [sshd] Invalid user user3 from [MIN IP-ADRESS]

Jan 30 16:13:36 [sshd] Invalid user user4 from [MIN IP-ADRESS]

Jan 30 16:13:37 [sshd] Invalid user user5 from [MIN IP-ADRESS]

Jan 30 16:13:40 [sshd] Invalid user user6 from [MIN IP-ADRESS]

Jan 30 16:13:48 [sshd] Invalid user user7 from [MIN IP-ADRESS]

Jan 30 16:13:48 [sshd] Invalid user user8 from [MIN IP-ADRESS]

Jan 30 16:13:49 [sshd] Invalid user user9 from [MIN IP-ADRESS]

Jan 30 16:13:50 [sshd] Invalid user user10 from [MIN IP-ADRESS]

Jan 30 16:13:51 [sshd] Invalid user linux2 from [MIN IP-ADRESS]

Jan 30 16:13:51 [sshd] Invalid user linux3 from [MIN IP-ADRESS]

---------------------------

denied tcp [MIN IP-ADRESS](56581) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](57091) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](57347) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](58112) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](58750) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](58877) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](59387) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](59642) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](59770) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](59897) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](60152) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](60471) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](60535) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](60726) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](60981) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](33195) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](33705) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](33960) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](34088) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](34470) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](34853) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](35873) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](35809) -> 0.0.0.0(22), 1 packet denied tcp
[MIN IP-ADRESS](36128) -> 0.0.0.0(22), 1 packet

-----------------------------------

Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.11 LEN=60 TOS=0x10 PREC=0x20
TTL=49 ID=14696 DF PROTO=TCP SPT=38794 DPT=22 WINDOW=5840 RES=0x00 SYN
URGP=0 Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.12 LEN=60 TOS=0x10
PREC=0x20 TTL=49 ID=46717 DF PROTO=TCP SPT=38795 DPT=22 WINDOW=5840 RES=0x00
SYN URGP=0 Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.13 LEN=60 TOS=0x10
PREC=0x20 TTL=49 ID=44606 DF PROTO=TCP SPT=38796 DPT=22 WINDOW=5840 RES=0x00
SYN URGP=0 Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.14 LEN=60 TOS=0x10
PREC=0x20 TTL=49 ID=57691 DF PROTO=TCP SPT=38797 DPT=22 WINDOW=5840 RES=0x00
SYN URGP=0 Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.16 LEN=60 TOS=0x10
PREC=0x20 TTL=49 ID=41718 DF PROTO=TCP SPT=38799 DPT=22 WINDOW=5840 RES=0x00
SYN URGP=0 Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.17 LEN=60 TOS=0x10
PREC=0x20 TTL=49 ID=64899 DF PROTO=TCP SPT=38800 DPT=22 WINDOW=5840 RES=0x00
SYN URGP=0 Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.18 LEN=60 TOS=0x10
PREC=0x20 TTL=49 ID=28706 DF PROTO=TCP SPT=38801 DPT=22 WINDOW=5840 RES=0x00
SYN URGP=0 Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.19 LEN=60 TOS=0x10
PREC=0x20 TTL=49 ID=44026 DF PROTO=TCP SPT=38802 DPT=22 WINDOW=5840 RES=0x00
SYN URGP=0 Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.20 LEN=60 TOS=0x10
PREC=0x20 TTL=49 ID=24516 DF PROTO=TCP SPT=38803 DPT=22 WINDOW=5840 RES=0x00
SYN URGP=0 Feb 5 23:15:00 SRC=[MIN IP-ADRESS] DST=160.45.40.21 LEN=60 TOS=0x10
PREC=0x20 TTL=49 ID=21209 DF PROTO=TCP SPT=38804 DPT=22 WINDOW=5840 RES=0x00
SYN URGP=0 ...

------------------------------------

Feb 17 01:30:51 jupiter kernel: IN=eth3 OUT=eth2 SRC=[MIN IP-ADRESS]
DST=200.142.127.40 LEN=60 TOS=0x08 PREC=0x20 TTL=44 ID=30578 DF PROTO=TCP
SPT=41526 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 <br>Feb 17 01:30:51 jupiter
kernel: IN=eth3 OUT=eth2 SRC=[MIN IP-ADRESS] DST=200.142.127.41 LEN=60
TOS=0x08 PREC=0x20 TTL=44 ID=7743 DF PROTO=TCP SPT=41527 DPT=22 WINDOW=5840
RES=0x00 SYN URGP=0 <br>Feb 17 01:30:51 jupiter kernel: IN=eth3 OUT=eth2
SRC=[MIN IP-ADRESS] DST=200.142.127.42 LEN=60 TOS=0x08 PREC=0x20 TTL=44 ID=498
DF PROTO=TCP SPT=41528 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 <br>Feb 17
01:30:51 jupiter kernel: IN=eth3 OUT=eth2 SRC=[MIN IP-ADRESS]
DST=200.142.127.34 LEN=60 TOS=0x08 PREC=0x20 TTL=44 ID=46746 DF PROTO=TCP
SPT=41520 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 <br>Feb 17 01:30:51 jupiter
kernel: IN=eth3 OUT=eth2 SRC=[MIN IP-ADRESS] DST=200.142.127.43 LEN=60
TOS=0x08 PREC=0x20 TTL=44 ID=59500 DF PROTO=TCP SPT=41529 DPT=22 WINDOW=5840
RES=0x00 SYN URGP=0 <br>Feb 17 01:30:51 jupiter kernel: IN=eth3 OUT=eth2
SRC=[MIN IP-ADRESS] DST=200.142.127.35 LEN=60 TOS=0x08

------------------------------

Feb 18 01:56:20 jupiter kernel: IN=eth4 OUT=
MAC=00:00:21:eb:64:8e:00:90:d0:5c:d6:b2:08:00 SRC=[MIN IP-ADRESS]
DST=200.207.41.110 LEN=60 TOS=0x00 PREC=0x00 TTL=48 ID=53872 DF PROTO=TCP
SPT=43934 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 <br>Feb 18 01:56:23 jupiter
kernel: IN=eth4 OUT= MAC=00:00:21:eb:64:8e:00:90:d0:5c:d6:b2:08:00
SRC=[MIN IP-ADRESS] DST=200.207.41.110 LEN=60 TOS=0x00 PREC=0x00 TTL=48
ID=53874 DF PROTO=TCP SPT=43934 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
<br>Feb 18 03:27:08 jupiter kernel: IN=eth0 OUT=
MAC=00:01:03:c2:4a:af:00:13:5f:02:43:8f:08:00 SRC=[MIN IP-ADRESS]
DST=200.213.105.166 LEN=60 TOS=0x10 PREC=0x20 TTL=43 ID=29336 DF PROTO=TCP
SPT=51895 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 <br>Feb 18 03:27:11 jupiter
kernel: IN=eth0 OUT= MAC=

--------------------------------

System Events

=-=-=-=-=-=-=

Feb 20 13:18:18 moni sshd[10694]: Illegal user webmaster from
::ffff:[MIN IP-ADRESS] Feb 20 13:18:19 moni sshd[10699]: Illegal user ftp from
::ffff:[MIN IP-ADRESS] Feb 20 13:18:20 moni sshd[10701]: Illegal user sales
from ::ffff:[MIN IP-ADRESS] Feb 20 13:18:28 moni sshd[10709]: Illegal user
guest from ::ffff:[MIN IP-ADRESS] Feb 20 13:18:29 moni sshd[10711]: Illegal
user guest1 from ::ffff:[MIN IP-ADRESS]

----- End forwarded message -----

-------------------------------

Visa signatur

Dator1: CM Stacker, Opteron 144@2,1Ghz, 512MB PC3200, 1600GB HD, PNY 6600GT 128Mb.
Dator2: Opteron 144@1,8Ghz, 1024MB PC3200, 160GB HD, 7800GT 256Mb
Server: P4 2,8Ghz, 512Mb RAM, 80Gb HD.

Redigera
Citera flera Citera
Permalänk
Medlem

ser ju ut som nå virus eller trojan som bara testar olika användarnamn...har du kollat efter vajrus?

Redigera
Citera flera Citera
Permalänk
Medlem

Re: BBB anklagar mig för intrångsförsök.

Hur ser loggarna ut på dina olika datorer?

Eftersom du blivit anklagad för intrångsförsök skulle jag tippa på att någon av dina servrar blivit "hackade" och används för att testa användarnamn/lösenord på andra SSH-servrar.

EDIT: ... inte först ...

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Vart kommer loggfilen ifrån, den andra sidan som påstår sig få en massa intrångsförsök eller ? Som ser ut o vara något franskt universitet kanske ?

Men jo, din burk är vidöppen, du är trojanad eller så har nån rootat ding firewall. Din linux säkert, kom nått nytt snyggt hål till det häromveckan tror jag. Har du SSH öppet in ? FTP'n är en bra kandidat oxo.

Jag har slutat bry mig, jag har cirkus 500-1000 bruteforce försök om dagen, 1 connect i sekunden till mailservern...

Visa signatur

We live in the age o stupidity || SparcStation 20,384mb RAM,1gb disk,2*125mhz, Solaris8
--------------------------------------------------------------------------------------------
Every suicide is a solution to a problem. -- Jean Baechler

Redigera
Citera flera Citera
Permalänk
Medlem

Jag hade blåst burken om den blivit hackad

Visa signatur

We live in the age o stupidity || SparcStation 20,384mb RAM,1gb disk,2*125mhz, Solaris8
--------------------------------------------------------------------------------------------
Every suicide is a solution to a problem. -- Jean Baechler

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av gluffis
Jag hade blåst burken om den blivit hackad

Jag hade ju först ivf försök komma på hur de gjort det, så att det inte händer på direkten igen...

Redigera
Citera flera Citera
Permalänk
Medlem

LÖST! :D:D

Problemet var att jag hade lagt upp ett konto med samma lösen som användarnamn. Kanske inte så säkert men ja hade ingen tanke på att nån skulle hacka mig. Har tagit bort kontot nu. Körde ps aux på linuxburken å fick upp 100st ssh-scan från samma användare.

Tack för alla tips

Visa signatur

Dator1: CM Stacker, Opteron 144@2,1Ghz, 512MB PC3200, 1600GB HD, PNY 6600GT 128Mb.
Dator2: Opteron 144@1,8Ghz, 1024MB PC3200, 160GB HD, 7800GT 256Mb
Server: P4 2,8Ghz, 512Mb RAM, 80Gb HD.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av head
Jag hade ju först ivf försök komma på hur de gjort det, så att det inte händer på direkten igen...

Förvisso, men jag skulle inte fortsätta köra samma installation. Men det är nog en arbetsskada

Citat:

Problemet var att jag hade lagt upp ett konto med samma lösen som användarnamn. Kanske inte så säkert men ja hade ingen tanke på att nån skulle hacka mig. Har tagit bort kontot nu. Körde ps aux på linuxburken å fick upp 100st ssh-scan från samma användare.

Ibland blir man bara trött. Om man gör sådana saker förtjänar man att bli hackad. Vad säger att du är säker bara för att just det kontot är borta. Personen som nitade din burk kanske plockade med sig shadow och passwd filerna och plockar resten av lösenorden eller planterade en snygg lite trojjan som inte visar sig i outputten från ps...

Visa signatur

We live in the age o stupidity || SparcStation 20,384mb RAM,1gb disk,2*125mhz, Solaris8
--------------------------------------------------------------------------------------------
Every suicide is a solution to a problem. -- Jean Baechler

Redigera
Citera flera Citera
Permalänk
Medlem

Ett tips är att byta standard porten för ssh. Så länge som ingen gör en riktad attack mot er så sveper bara scanbotsen förbi.
Inte haft en failed login på över ett halvår sedan jag bytte.

Visa signatur

citera om du vill få svar.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Swoosh
Ett tips är att byta standard porten för ssh. Så länge som ingen gör en riktad attack mot er så sveper bara scanbotsen förbi.
Inte haft en failed login på över ett halvår sedan jag bytte.

Ja! Det är ett mycket bra tips. Finns även mer avancerade lösningar som knockd, men att helt enkelt byta från standardportar är en tämligen effektiv metod.

Redigera
Citera flera Citera
Permalänk
Medlem

Eller så har man helt sonika nyckelbaserad login... då slipper man lösenordsproblemet...

Visa signatur

We live in the age o stupidity || SparcStation 20,384mb RAM,1gb disk,2*125mhz, Solaris8
--------------------------------------------------------------------------------------------
Every suicide is a solution to a problem. -- Jean Baechler

Redigera
Citera flera Citera
Permalänk
Medlem

Ett tips är att kolla över hosts.deny och hosts.allow för att spärra vilka ipn som kan ansluta till sshd
exempel hosts.deny där vi spärrar allt på sshd

sshd: ALL

exempel hosts.allow där vi låser upp för vissa ipn till sshd

sshd: 192.168.1. #internt lan
sshd: 82.177. #nått random ip, inte fan skriver jag ut mitt här
Redigera
Citera flera Citera
Permalänk
Medlem

Det här kan vara något om man har ssh-porten öppen.
http://www.howtoforge.com/preventing_ssh_dictionary_attacks_w...

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Jonthebest
LÖST! :D:D

Problemet var att jag hade lagt upp ett konto med samma lösen som användarnamn. Kanske inte så säkert men ja hade ingen tanke på att nån skulle hacka mig. Har tagit bort kontot nu. Körde ps aux på linuxburken å fick upp 100st ssh-scan från samma användare.

Tack för alla tips

Herrejävlar vad klantigt. Ibland kan man tro att vissa inte har något säkerhetstänkande alls.

Visa signatur

qw q b

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av dent42
Det här kan vara något om man har ssh-porten öppen.
http://www.howtoforge.com/preventing_ssh_dictionary_attacks_w...

Det fungerar alldeles ypperligt, har provat den nu i ca 1v och den spärrar hostar hela tiden, mao den gör sitt jobb & mailar en fin liten logg varje gång den blockar någon.

Visa signatur

Viva las vegas....

Redigera
Citera flera Citera
Permalänk
Medlem

Nej.. säkerhet har aldrig varit min starka sida.. men samtidigt är jag glad amatör vad gäller linux. Ska installera om om någon vecka när det kommer en ny server så då försvinner alla problem med vad hackaren kan ha ställt till med. Servern är inte på ett företag utan ett litet hobbyprojekt jag har.. så det är inget allvarligt som kan hända, visst, dom kan hacka vidare på nätverket och så.

Men om en user har login shell: sbin/nologin så kan dom väl inte logga in och starta program via ssh?

Visa signatur

Dator1: CM Stacker, Opteron 144@2,1Ghz, 512MB PC3200, 1600GB HD, PNY 6600GT 128Mb.
Dator2: Opteron 144@1,8Ghz, 1024MB PC3200, 160GB HD, 7800GT 256Mb
Server: P4 2,8Ghz, 512Mb RAM, 80Gb HD.

Redigera
Citera flera Citera
Permalänk
Medlem

Spelar ingen roll om den står på ett företag eller inte... du burk är hackad.. sedan loggar den in på top-secret.fbi.gov o leker runt.. sedan får du ut för det hela med lite tur...

Visa signatur

We live in the age o stupidity || SparcStation 20,384mb RAM,1gb disk,2*125mhz, Solaris8
--------------------------------------------------------------------------------------------
Every suicide is a solution to a problem. -- Jean Baechler

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Jonthebest
Men om en user har login shell: sbin/nologin så kan dom väl inte logga in och starta program via ssh?

Beror på om du har ett skal som ligger i /sbin/nologin och som finns med i /etc/shells. Här får du ett fint skalskript som fixar det åt dig! 

#!/bin/bash

if [ `id -u` -eq 0 ];then
  if [ $# -eq 1 ];then
    if [ -x $1 ];then
      echo "Adding $1 to /etc/shells..."
      echo $1>>/etc/shells
    else
      echo "$1 not a shell!"
    fi
  else
    echo Wrong number of args!
  fi
else
  echo Not root!
fi
Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara