LINUX.ORG.RU
ФорумSecurity

Хакнули чтоли


0

1

Всем привет.

Начал наблюдать в secure логах следующее: 

Jun 12 05:58:56 aleo sshd[24577]: error: connect_to 109.124.27.111 port 21581: failed.
Jun 12 05:58:57 aleo sshd[24577]: error: connect_to 94.180.154.221 port 13811: failed.
Jun 12 05:58:58 aleo sshd[24577]: error: connect_to 79.136.242.74 port 51413: failed.
Jun 12 05:59:01 aleo sshd[24577]: error: connect_to 95.191.46.162 port 31573: failed.
Jun 12 05:59:04 aleo sshd[24577]: error: connect_to 93.91.168.90 port 28965: failed.

Похоже какой-то бот с моей машины пытается брутить другие. Не подскажете что с этим делать.


Отключать всё нафиг и делать rkhunter.

post-factum ★★★★★
()
Ответ на: комментарий от anonymous

Не, насколько я понимаю когда ко мне щемятся в логах несколько иное содержимое: 

May 22 06:41:32 aleo sshd[28934]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201.218.236.44  user=root
May 22 06:41:34 aleo sshd[28934]: Failed password for root from 201.218.236.44 port 56144 ssh2
May 22 06:41:34 aleo sshd[28935]: Received disconnect from 201.218.236.44: 11: Bye Bye
May 22 06:41:37 aleo sshd[28937]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201.218.236.44  user=root
May 22 06:41:39 aleo sshd[28937]: Failed password for root from 201.218.236.44 port 57171 ssh2
May 22 06:41:39 aleo sshd[28938]: Received disconnect from 201.218.236.44: 11: Bye Bye
May 22 06:41:43 aleo sshd[28939]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201.218.236.44  user=root
May 22 06:41:45 aleo sshd[28939]: Failed password for root from 201.218.236.44 port 57938 ssh2
May 22 06:41:45 aleo sshd[28941]: Received disconnect from 201.218.236.44: 11: Bye Bye
May 22 06:41:48 aleo sshd[28942]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201.218.236.44  user=root

ALeo
() автор топика
Ответ на: комментарий от ALeo

Если по ангицки рубишь

However, servername.example.com does not exist, is not permitted, or cannot be resolved correctly by the remote server. Unfortunately, the error message is quite vague, and always makes it look like a security issue. Verify the server name is correct and try again, then check with your administrator.

Очень похоже на твою ситуацию.

anonymous
()
Ответ на: комментарий от anonymous

Как думаете, если к этому компу подключен торрент клиент по ssh(socks proxy) может такие результаты давать?

ALeo
() автор топика
Ответ на: комментарий от ALeo

>> Как думаете, если к этому компу подключен торрент клиент по ssh(socks proxy) может такие результаты давать?

Это я хз.

Если есть возможность - посмотри логи клиента, по идее, в них должны быть ошибки подключения.

anonymous
()
Ответ на: комментарий от ALeo

В этих логах у тебя сервер даёт отлуп клиенту уже при установленном соединении на этапе pam-авторизации.

anonymous
()
Ответ на: комментарий от ALeo

Чего тут объяснять-то?

May 22 06:41:32 aleo sshd[28934]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=201.218.236.44 user=root

May 22 06:41:34 aleo sshd[28934]: Failed password for root from 201.218.236.44 port 56144 ssh2 May 22 06:41:34 aleo sshd[28935]: Received disconnect from 201.218.236.44: 11: Bye Bye M

Значит TCP сессия установлена и идёт обмен информацией между сервером и клиентом (в данном случае - проверка пользователя/пароля)

error: connect_to 109.124.27.111 port 21581: failed.

Кто-то пытался подключится, но соединение, по каким-то причинам, не установлено.

anonymous
()
26 июля 2011 г.
Ответ на: комментарий от ALeo

> Как думаете, если к этому компу подключен торрент клиент по ssh(socks proxy) может такие результаты давать?

Это он их и даёт :) SSH выступает в роли SOCKS прокси и Ваш демон sshd от своего имени пытается подключится к IP, IP выключен и он пишет в лог error: connect_to 109.124.27.111 port 21581: failed.

Eshkin_kot ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security