LINUX.ORG.RU

завалите этого урода


0

0

May 4 16:39:26 arhimed sshd[20887]: Failed password for an unknown user from 220.128.206.131 port 36379 ssh2
May 4 16:39:26 arhimed sshd[20887]: Connection closed by 220.128.206.131
May 4 16:39:26 arhimed sshd[20889]: Failed password for an unknown user from 220.128.206.131 port 37451 ssh2
May 4 16:39:26 arhimed sshd[20889]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:31 arhimed sshd[20890]: input_userauth_request: illegal user Armi
May 4 16:39:31 arhimed sshd[20890]: Failed password for an unknown user from 220.128.206.131 port 38590 ssh2
May 4 16:39:31 arhimed sshd[20890]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:32 arhimed sshd[20891]: input_userauth_request: illegal user Jaakoppi
May 4 16:39:32 arhimed sshd[20891]: Failed password for an unknown user from 220.128.206.131 port 39043 ssh2
May 4 16:39:32 arhimed sshd[20891]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:35 arhimed sshd[20892]: input_userauth_request: illegal user Arsi
May 4 16:39:35 arhimed sshd[20892]: Failed password for an unknown user from 220.128.206.131 port 39743 ssh2
May 4 16:39:37 arhimed sshd[20894]: input_userauth_request: illegal user Jaana
May 4 16:39:37 arhimed sshd[20894]: Failed password for an unknown user from 220.128.206.131 port 40031 ssh2
May 4 16:39:37 arhimed sshd[20894]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:39 arhimed sshd[20892]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:41 arhimed sshd[20895]: input_userauth_request: illegal user Jalmari
May 4 16:39:41 arhimed sshd[20895]: Failed password for an unknown user from 220.128.206.131 port 41063 ssh2
May 4 16:39:42 arhimed sshd[20895]: Received disconnect from 220.128.206.131: 11: Bye Bye
May 4 16:39:43 arhimed sshd[20896]: input_userauth_request: illegal user Arto
May 4 16:39:43 arhimed sshd[20896]: Failed password for an unknown user from 220.128.206.131 port 41512 ssh2


☆☆

Скорее всего это зомбитачка, надо громко нажаловаться его прову.

Deleted
()

да обычное дело...у нас постоянно кто-то пытается пробиться ))...

dreamer ★★★★★
()

У него светит в сеть ssh - openssh 4.3. Експлоит в природе имеет место быть. Дерзайте.

signal
()
Ответ на: комментарий от Teak

чтобы его закрыть? замолчал вроде =) дык это можно и через hosts.deny вроде

vilfred ☆☆
() автор топика

~ % sudo zgrep -c ']: Invalid user ' /var/log/messages*
/var/log/messages:1679
/var/log/messages-20070225.bz2:4786
/var/log/messages-20070429.bz2:12733
~ %

true
()
Ответ на: комментарий от vilfred

Это что, эксплоит от ботов?? Или для ботов? Я что-то не понял что он делает...

Mousehouse
()

у меня когда подключаюсь напрямую без файрволла, через каждые три минуты Remote Desktop Sharing выскакивает с предложением разрешить доступ...

Причём этот клиент (Krfb), выкидывает окошко спрашивающее о подключении даже если ему просто по телнету стукнуть...

про ssh на роутере вообще молчу, там проваленные попытки логина выводятся на консоль, какие только имена юзеров угадать не пытаются :)

Жаловаться прову? И как? А поможет? Ломятся с румынских ip а румыны нашего мата не понимают, проверял :)

Den0k
()
Ответ на: комментарий от Den0k

Смени порт(с 22 на высокий) и банер - сказали уже же. Неужели это так трудно? Это гораздо легче, чем написать одно сообщение тут.

Deleted
()

$map 220.128.206.131

Starting Nmap 4.20 ( http://insecure.org ) at 2007-05-04 23:12 EEST
Interesting ports on 220-128-206-131.HINET-IP.hinet.net (220.128.206.131):
Not shown: 1689 filtered ports
PORT      STATE  SERVICE
21/tcp    closed ftp
22/tcp    open   ssh
53/tcp    closed domain
80/tcp    open   http
113/tcp   closed auth
3306/tcp  open   mysql
8080/tcp  open   http-proxy
10000/tcp open   snet-sensor-mgmt

Гы, прокся открытая :) паюзаем? ;)

Vanilin ★★★★
()


relax батько, сие есть дело обычное и не повод для паники. у меня уже который год желающие получить халявный шел подбирают пароли, но как-то все не получается. ну и хрен с ними.

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от vilfred

>гы, как же их назвать то? не китайцы, не японцы...

гоминьдановцы-чанкайшисты.

Порт можно не менять, достаточно что-то вроде Denyhosts поставить и пусть ломятся сколько влезет.

anonymous
()

поставь denyhosts и забудь про таких чудиков

v12aml ★★
()
Ответ на: комментарий от JB

Баннер это то как представляется ssh сервер когда цепляешься к ssh telnet'ом  ??
т.е. например: SSH-2.0-OpenSSH_4.3p2
Если да, тогда бы я не советовал это делать.

tugrik ★★
()
Ответ на: комментарий от Teak

Хм. Но я не получил подтверждения тот ли это банер о котором я подумал. Есть же еще опция Banner в sshd_config. Если же речь идет все-таки о первом "баннере". IMHO: Сервер и клиент таким образом договариваются о своих версиях(наличие/отсутсвие багов/фич), о версии протокола. Я внутрь не заглядывал, но думаю не стоит мешать им это делать. Если после очередного апдейта ssh отвалится из-за этого (если конечно такое возможно), думаю проблему будет тяжело найти.

http://www.openssh.net/faq.html#2.14

tugrik ★★
()

Девочка на сайте у него красивая.

qsloqs ★★
()

"завалите этого урода (vilfred)"

Хороший заголовок.

execve
()
Ответ на: комментарий от manokur

Это что, у меня как-то *рута* час брутфорсили на домашней тачке, при том, что ssh у меня его "из коробки" знать не желает. Достали, перевесил на высокий порт, теперь не допрыгивают =)

Думал даже honeypot сделать со сломанным sshd на 22 порту (чтобы он вообще никогда не авторизовал). Пока что лень, да и дел других хватает.

Есть еще, говорят, волшебный модуль для iptables -j TARPIT. Высасывает ресурсы у супостата (сокеты открытые держит почем зря).

lodin ★★★★
()
Ответ на: комментарий от lodin

в сети 217.65.0.0 с айпишника 213.195.76.214 уже дней пять какой то бот работает безперерыва :) надоело мне читать отчеты от fail2ban пришлось #iptables -t filter -a INPUT --source 213.195.76.214 -j DROP делать :)

Somewho ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.