LINUX.ORG.RU

завалите этого урода


0

0
May 4 16:39:26 arhimed sshd[20887]: Failed password for an unknown user from 220.128.206.131 port 36379 ssh2
May 4 16:39:26 arhimed sshd[20887]: Connection closed by 220.128.206.131
May 4 16:39:26 arhimed sshd[20889]: Failed password for an unknown user from 220.128.206.131 port 37451 ssh2
May 4 16:39:26 arhimed sshd[20889]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:31 arhimed sshd[20890]: input_userauth_request: illegal user Armi
May 4 16:39:31 arhimed sshd[20890]: Failed password for an unknown user from 220.128.206.131 port 38590 ssh2
May 4 16:39:31 arhimed sshd[20890]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:32 arhimed sshd[20891]: input_userauth_request: illegal user Jaakoppi
May 4 16:39:32 arhimed sshd[20891]: Failed password for an unknown user from 220.128.206.131 port 39043 ssh2
May 4 16:39:32 arhimed sshd[20891]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:35 arhimed sshd[20892]: input_userauth_request: illegal user Arsi
May 4 16:39:35 arhimed sshd[20892]: Failed password for an unknown user from 220.128.206.131 port 39743 ssh2
May 4 16:39:37 arhimed sshd[20894]: input_userauth_request: illegal user Jaana
May 4 16:39:37 arhimed sshd[20894]: Failed password for an unknown user from 220.128.206.131 port 40031 ssh2
May 4 16:39:37 arhimed sshd[20894]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:39 arhimed sshd[20892]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:41 arhimed sshd[20895]: input_userauth_request: illegal user Jalmari
May 4 16:39:41 arhimed sshd[20895]: Failed password for an unknown user from 220.128.206.131 port 41063 ssh2
May 4 16:39:42 arhimed sshd[20895]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:43 arhimed sshd[20896]: input_userauth_request: illegal user Arto
May 4 16:39:43 arhimed sshd[20896]: Failed password for an unknown user from 220.128.206.131 port 41512 ssh2


☆☆
Скорее всего это зомбитачка, надо громко нажаловаться его прову.
Deleted
()
да обычное дело...у нас постоянно кто-то пытается пробиться ))...
dreamer ★★★★★
()
У него светит в сеть ssh - openssh 4.3. Експлоит в природе имеет место быть. Дерзайте.
signal
()
Ответ на: комментарий от Teak
чтобы его закрыть? замолчал вроде =) дык это можно и через hosts.deny вроде
vilfred ☆☆
() автор топика
~ % sudo zgrep -c ']: Invalid user ' /var/log/messages*
/var/log/messages:1679
/var/log/messages-20070225.bz2:4786
/var/log/messages-20070429.bz2:12733
~ %
true
()
Ответ на: комментарий от vilfred
Это что, эксплоит от ботов?? Или для ботов? Я что-то не понял что он делает...
Mousehouse
()
у меня когда подключаюсь напрямую без файрволла, через каждые три минуты Remote Desktop Sharing выскакивает с предложением разрешить доступ...

Причём этот клиент (Krfb), выкидывает окошко спрашивающее о подключении даже если ему просто по телнету стукнуть...

про ssh на роутере вообще молчу, там проваленные попытки логина выводятся на консоль, какие только имена юзеров угадать не пытаются :)

Жаловаться прову? И как? А поможет? Ломятся с румынских ip а румыны нашего мата не понимают, проверял :)

Den0k
()
Ответ на: комментарий от Den0k
Смени порт(с 22 на высокий) и банер - сказали уже же. Неужели это так трудно? Это гораздо легче, чем написать одно сообщение тут.
Deleted
()
$map 220.128.206.131

Starting Nmap 4.20 ( http://insecure.org ) at 2007-05-04 23:12 EEST
Interesting ports on 220-128-206-131.HINET-IP.hinet.net (220.128.206.131):
Not shown: 1689 filtered ports
PORT      STATE  SERVICE
21/tcp    closed ftp
22/tcp    open   ssh
53/tcp    closed domain
80/tcp    open   http
113/tcp   closed auth
3306/tcp  open   mysql
8080/tcp  open   http-proxy
10000/tcp open   snet-sensor-mgmt

Гы, прокся открытая :) паюзаем? ;)
Vanilin ★★★★
()

relax батько, сие есть дело обычное и не повод для паники. у меня уже который год желающие получить халявный шел подбирают пароли, но как-то все не получается. ну и хрен с ними.

// wbr
klalafuda ★☆☆
()
Ответ на: комментарий от vilfred
>гы, как же их назвать то? не китайцы, не японцы...

гоминьдановцы-чанкайшисты.

Порт можно не менять, достаточно что-то вроде Denyhosts поставить и пусть ломятся сколько влезет.

anonymous
()
поставь denyhosts и забудь про таких чудиков
v12aml ★★
()
Ответ на: комментарий от JB
Баннер это то как представляется ssh сервер когда цепляешься к ssh telnet'ом  ??
т.е. например: SSH-2.0-OpenSSH_4.3p2
Если да, тогда бы я не советовал это делать.
tugrik ★★
()
Ответ на: комментарий от Teak
Хм. Но я не получил подтверждения тот ли это банер о котором я подумал. Есть же еще опция Banner в sshd_config. Если же речь идет все-таки о первом "баннере". IMHO: Сервер и клиент таким образом договариваются о своих версиях(наличие/отсутсвие багов/фич), о версии протокола. Я внутрь не заглядывал, но думаю не стоит мешать им это делать. Если после очередного апдейта ssh отвалится из-за этого (если конечно такое возможно), думаю проблему будет тяжело найти.

http://www.openssh.net/faq.html#2.14

tugrik ★★
()
Девочка на сайте у него красивая.
qsloqs ★★
()
"завалите этого урода (vilfred)"

Хороший заголовок.

execve
()
Ответ на: комментарий от manokur
Это что, у меня как-то *рута* час брутфорсили на домашней тачке, при том, что ssh у меня его "из коробки" знать не желает. Достали, перевесил на высокий порт, теперь не допрыгивают =)

Думал даже honeypot сделать со сломанным sshd на 22 порту (чтобы он вообще никогда не авторизовал). Пока что лень, да и дел других хватает.

Есть еще, говорят, волшебный модуль для iptables -j TARPIT. Высасывает ресурсы у супостата (сокеты открытые держит почем зря).

lodin ★★★★
()
Ответ на: комментарий от lodin
в сети 217.65.0.0 с айпишника 213.195.76.214 уже дней пять какой то бот работает безперерыва :) надоело мне читать отчеты от fail2ban пришлось #iptables -t filter -a INPUT --source 213.195.76.214 -j DROP делать :)
Somewho ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.