LINUX.ORG.RU
ФорумTalks

Кому я нужен?


0

0

Сегодня утром поднял на десктопе ftp-сервер и ушел на работу. Вечером обнаружил что с двух айпишников кто-то ломился ко мне использую логин «Administrator»:

 $ sudo sed -n 's/^.*FAIL.* \([^ ]*\)$/\1/pg' /var/log/vsftpd.log | uniq
"60.8.11.54"
"209.82.10.146"
 $ sudo egrep 'FAIL' /var/log/vsftpd.log | wc -l
729
 $

Явно кто-то усердный. IP у меня постоянный вот уже три года. Ничего серверного обычно не крутится...

Вопрос первый: как кто-то вообще набрел на мою машинку? Вопрос второй: чего он хотел? Вопрос третий: где openssh-server в убунте хранит логи? Может быть и там чего интересное найдется... С конфигами openssh-server по-умолчанию в убунте и стойким паролем можно спокойно жить? Или надо дополнительно усиливать защиту?

Судя по всему какой то школьник начитавшийся хакера

bioreactor ★★★★★
()
Ответ на: комментарий от I_am_milk

> как узнал мой IP

Регулярно автоматически сканирует порты по большому диапазону IP.

> зачем ему это надо?

Говорят, ботнет из линуксовых компьютеров стоит гораздо дороже.

question4 ★★★★★
()
Ответ на: комментарий от I_am_milk

> Кому я нужен?

Ты лично никому нахрен не нужен, можешь повеситься сегодня же. Нужен твой комп, который после взлома будет использоваться для рассылки спама и прочих грязных дел. Да, это бот, естественно.

На любом сервере при просмотре auth.log становиться страшно.

Paul_N
()
Ответ на: комментарий от Paul_N

> /var/log/auth.log

Aug 20 11:05:47 sshd[16384]: Did not receive identification string from 202.109.242.18

Вот негодяи... И туда полезли.

I_am_milk
() автор топика
Ответ на: комментарий от question4

> Говорят, ботнет из линуксовых компьютеров стоит гораздо дороже.

>>> кто-то ломился ко мне использую логин "Administrator"


Не похоже. :)

Ruth ★★
()

конкретно - никому. это автоматический паук, высматривающий открытые порты и ломящийся туда.

перевесил как-то ссх-порт обратно на 22-ой, нужно было зачем-то. ну и забыл. на следующий день смотрю - использование процессора 100%, работает вот такой вот поисковик. лежат где-то в /tmp всякие исходники и бинари, конфиги, и файл с логинами-паролями уже готовых машинок. оказалось - пароль от postgres забыл с дефолтного поменять. а в арче, емнип, при установке не спрашивает, как для mysql.

короче, сохранил всю эту бодягу на память, посмотрел chkrootkit и закрыл все обратно. познавательно.

volh ★★
()
Ответ на: комментарий от question4

>>кто-то ломился ко мне использую логин "Administrator" >Говорят, ботнет из линуксовых компьютеров стоит гораздо дороже.

пацан к успеху шел

stormy
()
Ответ на: комментарий от question4

>Говорят, ботнет из линуксовых компьютеров стоит гораздо дороже.

как-то вывесил в разделе "скриншоты" на bbs.archlinux.org ссылку на картинку на своем сервере ( ага, они не копируют ). и в течение приблизительно недели собирал айпишники линуксовых машин. потом провел небольшое исследование - где-то у 30% есть откровенно слабые места, к 15% прям сразу можно залогиниться под каким-нибудь служебным акком с дефолтовым паролем. такие дела )

volh ★★
()
Ответ на: комментарий от volh

ну, это понятное дело, учитывая людей, у которых реальный ip прямо на компе, которые ходят не через нат. а таких меньшинство. но все равно весело.

volh ★★
()

У меня год назад на одном серваке с открытым портом SSH начали тупо перебирать пароли с бешеной скоростю, рут все равно закрыт и пароль сложный но все равно как то не по себе было, по этому разрешил стукать на SSH только с моих айпишок и после этого только и откидывает их айпишки до сегодня, при том что с одной айпи стукнуло 2-3 раза и начинает с другой (там в логах уже наверное несколько десятков тисяч разных айпи насобиралось)

sansei
()

банить их надо после трех попыток ввода пароля на месяц!

Ab-1
()
Ответ на: комментарий от volh

>> ботнет из линуксовых компьютеров

> где-то у 30% есть откровенно слабые места, к 15% прям сразу можно залогиниться под каким-нибудь служебным акком с дефолтовым паролем

Дороже не потому, что его сложнее заполучить, а потому, что там обычно уже установлены всякие "хакерские инструменты" и скриптовые языки.

question4 ★★★★★
()
Ответ на: комментарий от sansei

>>У меня год назад на одном серваке с открытым портом SSH начали тупо перебирать пароли с бешеной скоростю

$ iptables-save | grep BRUTE
:BRUTE - [0:0]
-A INPUT -p tcp -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT

Dao_Dezi
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.