LINUX.ORG.RU
ФорумTalks

[ботнеты]меня брутфорсили


0

1 
               
Feb  2 22:18:31 kurlaev-netbook sshd[12252]: reverse mapping checking getaddrinfo for 121.242.15.135.static-kolkata.vsnl.net.in [121.242.15.135] failed - POSSIBLE BREAK-IN ATTEMPT!                                                                              
Feb  2 22:18:31 kurlaev-netbook sshd[12252]: Invalid user oracle from 121.242.15.135                                             
Feb  2 22:18:35 kurlaev-netbook sshd[12257]: reverse mapping checking getaddrinfo for 121.242.15.135.static-kolkata.vsnl.net.in [121.242.15.135] failed - POSSIBLE BREAK-IN ATTEMPT!                                                                              
Feb  2 22:18:35 kurlaev-netbook sshd[12257]: Invalid user test from 121.242.15.135                                               
Feb  3 03:52:48 kurlaev-netbook sshd[18604]: Did not receive identification string from 119.62.128.113                           
Feb  4 00:53:51 kurlaev-netbook sshd[25258]: Did not receive identification string from 202.106.212.231                          
Feb  4 03:06:00 kurlaev-netbook sshd[3469]: Did not receive identification string from 221.122.58.228                            
Feb  9 02:26:38 kurlaev-netbook sshd[3645]: Invalid user oracle from 168.126.28.24                                               
Feb  9 02:26:40 kurlaev-netbook sshd[3651]: Invalid user test from 168.126.28.24                                                 
Feb  9 02:26:43 kurlaev-netbook sshd[3655]: Invalid user guest from 168.126.28.24                                                
Feb  9 02:26:45 kurlaev-netbook sshd[3662]: Invalid user marta from 168.126.28.24                                                
Feb  9 02:26:47 kurlaev-netbook sshd[3669]: Invalid user anti from 168.126.28.24                                                 
Feb  9 02:26:49 kurlaev-netbook sshd[3673]: Invalid user dragon from 168.126.28.24                                               
Feb  9 02:26:52 kurlaev-netbook sshd[3680]: Invalid user test from 168.126.28.24                                                 
Feb  9 02:26:54 kurlaev-netbook sshd[3685]: Invalid user backup from 168.126.28.24                                               
Feb  9 02:26:59 kurlaev-netbook sshd[3695]: Invalid user mike from 168.126.28.24                                                 
Feb  9 02:27:04 kurlaev-netbook sshd[3703]: Invalid user mythtv from 168.126.28.24                                               
Feb  9 02:27:24 kurlaev-netbook sshd[3729]: Invalid user gnax from 168.126.28.24                                                 
Feb  9 02:27:32 kurlaev-netbook sshd[3741]: Invalid user mythtv from 168.126.28.24                                               
Feb  9 02:27:36 kurlaev-netbook sshd[3751]: Invalid user upload from 168.126.28.24                                               
Feb  9 02:27:38 kurlaev-netbook sshd[3759]: Invalid user status from 168.126.28.24                                               
Feb  9 02:27:43 kurlaev-netbook sshd[3767]: Invalid user tomcat from 168.126.28.24                                               
Feb  9 02:27:45 kurlaev-netbook sshd[3772]: Invalid user postgres from 168.126.28.24                                             
Feb  9 02:27:48 kurlaev-netbook sshd[3777]: Invalid user anonymous from 168.126.28.24                                            
Feb  9 02:27:50 kurlaev-netbook sshd[3782]: Invalid user worker from 168.126.28.24                                               
Feb  9 02:27:52 kurlaev-netbook sshd[3787]: Invalid user craig from 168.126.28.24                                                
Feb  9 02:27:54 kurlaev-netbook sshd[3792]: Invalid user webmaster from 168.126.28.24                                            
Feb  9 02:27:57 kurlaev-netbook sshd[3796]: Invalid user user from 168.126.28.24                                                 
Feb  9 02:28:04 kurlaev-netbook sshd[3817]: Invalid user michael from 168.126.28.24                                              
Feb  9 02:28:06 kurlaev-netbook sshd[3822]: Invalid user short from 168.126.28.24                                                
Feb  9 02:28:09 kurlaev-netbook sshd[3828]: Invalid user admin from 168.126.28.24                                                
Feb  9 02:28:13 kurlaev-netbook sshd[3847]: Invalid user music from 168.126.28.24                                                
Feb  9 02:28:15 kurlaev-netbook sshd[3853]: Invalid user jessie from 168.126.28.24                                               
Feb  9 02:28:18 kurlaev-netbook sshd[3861]: Invalid user notes from 168.126.28.24                                                
Feb  9 02:28:20 kurlaev-netbook sshd[3868]: Invalid user turbo from 168.126.28.24                                                
Feb  9 02:28:23 kurlaev-netbook sshd[3874]: Invalid user usuario from 168.126.28.24                                              
Feb  9 02:28:25 kurlaev-netbook sshd[3878]: Invalid user spamfiltrer from 168.126.28.24
Feb  9 02:28:28 kurlaev-netbook sshd[3882]: Invalid user elite from 168.126.28.24
Feb  9 02:28:30 kurlaev-netbook sshd[3887]: Invalid user ftpuser from 168.126.28.24
Feb  9 02:28:32 kurlaev-netbook sshd[3891]: Invalid user radmin from 168.126.28.24
Feb  9 02:28:35 kurlaev-netbook sshd[3895]: Invalid user portal from 168.126.28.24
Feb  9 02:28:38 kurlaev-netbook sshd[3899]: Invalid user master from 168.126.28.24
Feb  9 02:28:40 kurlaev-netbook sshd[3903]: Invalid user sales from 168.126.28.24
Feb  9 02:28:42 kurlaev-netbook sshd[3907]: Invalid user util1 from 168.126.28.24
Feb  9 02:28:45 kurlaev-netbook sshd[3911]: Invalid user anthony from 168.126.28.24
Feb 10 23:00:03 kurlaev-netbook sshd[10381]: Invalid user place from 88.208.232.46
Feb 10 23:00:11 kurlaev-netbook sshd[10420]: Invalid user sky from 88.208.232.46
Feb 10 23:00:13 kurlaev-netbook sshd[10423]: Invalid user palekar from 88.208.232.46
Feb 10 23:00:19 kurlaev-netbook sshd[10437]: Invalid user vic12opq from 88.208.232.46
Feb 10 23:00:21 kurlaev-netbook sshd[10440]: Invalid user cpanel from 88.208.232.46

В общем, я, как ССЗБ, зачем-то переадресовал на роутере 22-ой порт прямо себе в нетбук и недавно обнаружил в логах вот такое вот. Начинается в логах всё 17 января, а конец вы видите. Вроде по этим же логам, пройти они не смогли.

Что это за ботнет? Троян, червь или что это? Я нмапил несколько адресов, на них всех линуксы с сш, на одном было что-то оракловское даже, ещё запомнил, что на одном нмап сказал, что ядро скорее всего 2.6.18.

И почему они не пытались тупо подобрать пароль рута?

Может как-то можно сказать админам тех серверов, чтобы безопасность улучшили?)

И зачем им таки мой нетбук? Мой ип, конечно, гуглится, в том числе на лоре. Но они что, грепают весь интернет? Или сканят все ип подряд?

★★★

Ну так ssh постоянно брутфорсят. У меня на домашнем сервере даже пароль подобрали. Запустили какую-то фигню. Думаю она дальше по цепочке брутфорсила.

mrco ★★
()

>И почему они не пытались тупо подобрать пароль рута?
многие закрывают логин для рута, и пароль часто более сложный.

И зачем им таки мой нетбук?

скайнет просто нашел открытый порт и обрадовался :)

nu11 ★★★★★
()

> В общем, я, как ССЗБ, зачем-то переадресовал на роутере 22-ой порт прямо себе в нетбук и недавно обнаружил в логах вот такое вот

у меня 22 порт обычно открыт, просто используй Denyhosts

И почему они не пытались тупо подобрать пароль рута?

у большинства стоит PermitRootLogin no

И зачем им таки мой нетбук?

чтобы сделать тебя членом ботнета, я так думаю

Obey-Kun ★★★★★
()
Ответ на: комментарий от mrco

>Ну так ssh постоянно брутфорсят.

Точно, надо посмотреть логи моего тестового виртуального терминального сервера (он сейчас в дауне, но долго был включен), и блин, там есть пользователь test с паролем test... А логин test вроде в логах мелькает...

Yareg ★★★
() автор топика
Ответ на: комментарий от Obey-Kun

>у большинства стоит PermitRootLogin no

Accepted keyboard-interactive/pam for root from ::1 port 58890 ssh2 ))

Yareg ★★★
() автор топика
Ответ на: комментарий от xorik

А есть какие-нибудь списки ботнетов и их членов?

Yareg ★★★
() автор топика
Ответ на: комментарий от mrco

Аналогично.
Комп раньше пользовался и младшим братом - запустили то, что продолжило брутфорсить другие компы. Надо быдо сохранить для препарации.

CyberTribe ★★
()

Это червяки брутофорсят. Обычное дело.

denyhosts + если надо, то другой порт.

Vit ★★★★★
()

Зачем тебе sshd на нетбуке?

Да, как-то ради ржача выставил в интернеты ssh от PowerMac 8200, потом долго ржал, наблюдая за попытками дебилов запустить червяка из x86-бинаря. gcc там не было.

svr4
()
Ответ на: комментарий от svr4

>Зачем тебе sshd на нетбуке?

Чтобы было) Можно с десктопа запускать проги с него и с нетбука одновременно, к примеру. А нахрена выставил порт наружу - сам не знаю. Хотя вроде один раз мне над было зачем-то очень с телефона им порулить... А потом порт вроде оставил, потому что решил. что у меня достаточно стойкий пароль.

Yareg ★★★
() автор топика
Ответ на: комментарий от svr4

>x86-бинаря.

А роутеры, интересно, таким образом не ломают? А там же мипс у всех.

Yareg ★★★
() автор топика
Ответ на: комментарий от svr4

да) представляю как это забавно было :))))

mono ★★★★★
()

На левый порт повесь да и забудь. Постоянно в 22 долбят, уже несколько лет.

pekmop1024 ★★★★★
()

у меня лично домашний ssh, выставленный наружу, слушает порт, отличный от 22. Ну и плюс запрещен root и denyhosts сторожит. Правда, один раз он меня самого с работы заблокировал, пришлось лезть через мобилу и сбрасывать :)

P.S. sudo cat /var/log/auth.log | grep «Failed password» | wc -l
2

Alsvartr ★★★★★
()

Списки ботнетов составлять бесполезно, ибо за одним адресом у нас часто сидит много пользователей.

Gary ★★★★★
()

>меня брутфорсили

Поздравляю с первым выходом в Интернет!

KRoN73 ★★★★★
()
Ответ на: комментарий от svr4

>Зачем тебе sshd на нетбуке?

Например, рулить чем-то с десктопа бывает удобнее :)

KRoN73 ★★★★★
()
Ответ на: комментарий от svr4

> Да, как-то ради ржача выставил в интернеты ssh от PowerMac 8200, потом долго ржал, наблюдая за попытками дебилов запустить червяка из x86-бинаря. gcc там не было.


вот у меня тоже возникла мысль похожая -
поднять в виртуалке какой-нить огороженный по самые помидоры gentoo-hardened или centos с selinux, создать пачкую юзеров admin/admin, выставить ssh, telnet, еще может что корявое..., отгородить все в правах по максимуму но gcc оставить - пусть канпилят сплойты))
сломают интересно или нет?

r0mik
()
Ответ на: комментарий от r0mik

есть классика 1997 года, fakebo для unix
эмулировало оно наличие трояна-бэкдора backoriffice
было интереснее чем смотреть на «логику» червя, там все было вручную )

Sylvia ★★★★★
()

$ grep Invalid\ user /var/log/auth.log | wc -l
286
До паролей еще не добрались, хотя все равно вход по паролю всегда выключен был.

Lucky1 ★★★
()
Ответ на: комментарий от Sylvia

>эмулировало оно наличие трояна-бэкдора backoriffice

Помню, в конце 1990-х некоторые извращенцы хитро делали. Оставляли эмулятор виндовой сети или открытого ftp, торчащих голой попой в Интернет и оставляли там всякие porno.exe с троянами. Метод ленивой рыбы. Горе-хакеры, насканировав «уязвимость», лезли туда, радовались спёртому частному порно и сажали себе троянов :)

KRoN73 ★★★★★
()
Ответ на: комментарий от Lucky1

>286

# grep 'Invalid user' /var/log/sshd/current |wc -l
8095

Это за 12 часов на моей домашней машине :)

KRoN73 ★★★★★
()
Ответ на: комментарий от Breton

>Почему тут до сих пор не порекомендовали отключить авторизацию по паролю?

А как с чужой машины входить?

KRoN73 ★★★★★
()
Ответ на: комментарий от Sylvia

ps: когда был ftpd, то брутфорсили часто и обычно искали вендовые аккаунты, чаще всего пробовали логин Administrator

Sylvia ★★★★★
()
Ответ на: комментарий от Sylvia

> fakebo
погуглил. хм, это ж нада че придумали))


8095

Это за 12 часов на моей домашней машине :)


оно же нехило садит i/o, syslogd же по дефолту синкает каждую запись. выходит ~11 синков в минуту блин

А как с чужой машины входить?


в голове держать или набить наколку на крайняк))

r0mik
()
Ответ на: комментарий от r0mik

>> fakebo

погуглил. хм, это ж нада че придумали))


придумали, троянов тогда было всего 2, BO и Netbus, fakebo поддерживает и то и другое, распространяли троянчики методами социальной инженерии, т.е. жертву надо было уговорить на запуск исполняемого файла

это потом уже стали появляться другие трояны с сканированием на уязвимости и самостоятельным внедрением

Sylvia ★★★★★
()
Ответ на: комментарий от KRoN73

Всегда ношу с собой флэшку с ключами. И дубль ключей на телефон.
К тому же, ssh-клиент на телефоне бывает очень удобен.

Breton
()
Ответ на: комментарий от r0mik

уже ~10 часов как стоит голой опой в интернет admin/admin, guest/guest и т.п. - никто не брутит. вот незадача))

r0mik
()
Ответ на: комментарий от KRoN73

>А как с чужой машины входить?

Лично я запретил заход НЕ с локалхоста всем, кроме двух юзеров: аварийного с длинным паролем и безшеллового без пароля (только ключи). Если надо попасть нормальным юзером на машину, способ один: копать тоннель (-f -N -L 22000:localhost:22)

По уму, надо б ещё у аварийного шелл открутить и нарисовать скрипт для автоматического добавления ключей...

lodin ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks