URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 47145
[ Назад ]
Исходное сообщение
"меня кто пытается ломануть или это новый вирус? :)"
Отправлено qwerty , 13-Авг-04 10:06 
server-name.ru login failures:
Aug 12 11:59:12 server-name sshd[25743]: Failed password for illegal user test from 200.73.162.10 port 4999 ssh2
Aug 12 15:14:24 server-name sshd[26115]: Failed password for illegal user test from 210.0.186.83 port 53535 ssh2
Aug 12 15:14:28 server-name sshd[26116]: Failed password for illegal user guest from 210.0.186.83 port 53652 ssh2
Aug 12 15:14:31 server-name sshd[26117]: Failed password for illegal user admin from 210.0.186.83 port 53742 ssh2
Aug 12 15:14:35 server-name sshd[26118]: Failed password for illegal user admin from 210.0.186.83 port 53840 ssh2
Aug 12 15:14:39 server-name sshd[26119]: Failed password for illegal user user from 210.0.186.83 port 53933 ssh2
Aug 12 15:14:43 server-name sshd[26120]: Failed password for root from 210.0.186.83 port 54035 ssh2
Aug 12 15:14:46 server-name sshd[26121]: Failed password for root from 210.0.186.83 port 54098 ssh2
Aug 12 15:14:50 server-name sshd[26122]: Failed password for root from 210.0.186.83 port 54156 ssh2
Aug 12 15:14:54 server-name sshd[26123]: Failed password for illegal user test from 210.0.186.83 port 54201 ssh2
Aug 12 20:56:20 server-name sshd[26822]: Failed password for illegal user test from 195.28.70.15 port 2813 ssh2
Aug 12 20:56:22 server-name sshd[26823]: Failed password for illegal user guest from 195.28.70.15 port 2965 ssh2
Aug 12 20:56:23 server-name sshd[26824]: Failed password for illegal user admin from 195.28.70.15 port 3041 ssh2
Aug 12 20:56:25 server-name sshd[26825]: Failed password for illegal user admin from 195.28.70.15 port 3105 ssh2
Aug 12 20:56:26 server-name sshd[26826]: Failed password for illegal user user from 195.28.70.15 port 3159 ssh2
Aug 12 20:56:28 server-name sshd[26827]: Failed password for root from 195.28.70.15 port 3205 ssh2
Aug 12 20:56:29 server-name sshd[26828]: Failed password for root from 195.28.70.15 port 3253 ssh2
Aug 12 20:56:31 server-name sshd[26829]: Failed password for root from 195.28.70.15 port 3276 ssh2
Aug 12 20:56:32 server-name sshd[26830]: Failed password for illegal user test from 195.28.70.15 port 3297 ssh2

server-name.ru refused connections:
----------------------------cut-----------------------------------------

Содержание
Сообщения в этом обсуждении
"меня кто пытается ломануть или это новый вирус? :)"
Отправлено mar , 13-Авг-04 10:54 
ломают :) причем, судя по временам в логе - вручную (имхо).
"меня кто пытается ломануть или это новый вирус? :)"
Отправлено LLIaTyH , 13-Авг-04 11:15 
кто то развлекается,
у меня тоже периодически раз или 2 в день такое лезет, очень похоже на скан прогу которая при нахождении шела начинает стучат используя дефолтовые имена и пароли, а вдруг кто не закрылся!!!!
"меня кто пытается ломануть или это новый вирус? :)"
Отправлено mar , 13-Авг-04 11:18 
>кто то развлекается,
>у меня тоже периодически раз или 2 в день такое лезет, очень
>похоже на скан прогу которая при нахождении шела начинает стучат используя
>дефолтовые имена и пароли, а вдруг кто не закрылся!!!!
похоже, но когда пытаются ломать сканпрогами подбор идет очень быстро (время в логе)
"re"
Отправлено qwerty , 13-Авг-04 11:22 
ну пусть помучается ;)
"re"
Отправлено Brainbug , 13-Авг-04 11:35 
>ну пусть помучается ;)

Ja bi nebil nastolko samouverennim.
Lubije podobnije ve6i trebuju vnimanija, daze esli eto prosto 4ji-to 6asolti.

"re"
Отправлено qwerty , 13-Авг-04 11:44 
>>ну пусть помучается ;)
>
>Ja bi nebil nastolko samouverennim.
>Lubije podobnije ve6i trebuju vnimanija, daze esli eto prosto 4ji-to 6asolti.
естественно! я и слежу.. вот только смущает ламернутость.. вернее тупые логины...может хотят усыпить мою бдительность что бы не обращал внимания а потом.. тьфу-тьфу.. ;)


"re"
Отправлено LLIaTyH , 13-Авг-04 11:50 
Где то сдесь же видел уже топик на эту тему, было предложено решение написать провайдеру и пускай сам решает кто такой умный его клиентов ломает... или сканит
Как решение можно просто банить ip только я ежедневно слежу и там постоянно разные ip, а действия одинаковые, так что это решением назвать нельзя.....

Так что дейсвительно нужно прову пожаловаться, может они там чего нибудь замудрить смогут!!!

"re"
Отправлено qwerty , 13-Авг-04 11:54 
не думаю что провайдеру мои проблемы интересны :)
почти на 99% уверен что остается или смирится или .. или оставить все как есть.. судя по логам - скан происходит в одни и те же промежутки времени вот уже 2 недели, практически точь в точь.. значит в сети какой то новый вирус прописался.. пока неизвестный антивирлабам..

"re"
Отправлено ipmanyak , 13-Авг-04 13:02 
>не думаю что провайдеру мои проблемы интересны :)
>почти на 99% уверен что остается или смирится или .. или оставить
>все как есть.. судя по логам - скан происходит в одни
>и те же промежутки времени вот уже 2 недели, практически точь
>в точь.. значит в сети какой то новый вирус прописался.. пока
>неизвестный антивирлабам..
поставь portsentry, он автоматически будет банить ip в случае обращения на  порты в списке

"re"
Отправлено Brainbug , 13-Авг-04 13:44 
>>не думаю что провайдеру мои проблемы интересны :)
>>почти на 99% уверен что остается или смирится или .. или оставить
>>все как есть.. судя по логам - скан происходит в одни
>>и те же промежутки времени вот уже 2 недели, практически точь
>>в точь.. значит в сети какой то новый вирус прописался.. пока
>>неизвестный антивирлабам..
>поставь portsentry, он автоматически будет банить ip в случае обращения на  
>порты в списке

Potencialnij kandidat na DoS v takom slu6aje.

"re"
Отправлено Agressor , 13-Авг-04 18:08 
Вообще-то не понятно, тебе что доступ по ssh к твоей машине надо со всего мира? Я в этом не уверен...  Оставь открытым доступ только с тех IP, с которых он тебе действительно нужен, я не думаю что сканят именно с них...
И пусть думают что SSH сервер упал наф...
"re"
Отправлено Shalf , 14-Авг-04 09:47 
Если надо со всего мира и ваще откуда угодно, то делай так ;)
В настройках sshd открывай для IP-ков из локальной сети и для какого-нибудь доменного имени, например imadmin.no-ip.com .. No-ip.com это халявная зона, можно регить свои имена.. Выходишь в инет откуда хочешь, на сайте меняешь IP на свой и вперед =) Ну и конечно порты sshd измени =)

"Тоже самое повторяется и у меня! Вот только у меня как раз ssh открыт "
Отправлено AMG , 17-Авг-04 12:08 
для одного единственного адреса ! и все равно в логах видно подключение с разных IP!!!! В чем дело, подскажите , плз!

тип firewall закрытый, что касается ssh

allow tcp from my_ip_addrr. to me 22
reject tcp from any to me 22,23

Причем, когда, я сам коннекчусь к сервреу не с нужного IP, то все OK! он не пускает!

Каким образом они подключаются?


Началась эта бодяга примерно пару нед. назад и продолж до сих пор!


и Portsentry постоянно закрывает попытки соед. на 111, 1080 порты, опять-таки с разных IP.

Спасибо!

"re"
Отправлено pva , 14-Авг-04 11:42 
У меня на трех серверах происходит тоже самое, те же логины , а также постоянно тычутся в root !

мое мнение что это типа вирус новый, только почему при такой активности в сети, о нем ничего не слышно ?

Мой лог:
=====================
Aug 13 15:21:49 mail sshd[71886]: Illegal user test from 24.85.217.244
Aug 13 15:21:56 mail sshd[71888]: Illegal user guest from 24.85.217.244
Aug 13 15:22:00 mail sshd[71892]: Illegal user admin from 24.85.217.244
Aug 13 15:22:04 mail sshd[71907]: Illegal user admin from 24.85.217.244
Aug 13 15:22:08 mail sshd[71909]: Illegal user user from 24.85.217.244
=====================
Aug 13 22:25:23 mail sshd[77833]: Failed password for root from 211.238.160.28 port 3001 ssh2
Aug 13 22:25:26 mail sshd[77836]: Failed password for root from 211.238.160.28 port 3129 ssh2
Aug 13 22:25:30 mail sshd[77838]: Failed password for root from 211.238.160.28 port 3189 ssh2
=====================
судя по интервалам между попытками, не так уж и медленно , короче явно програмуля, ну или если кто нить знает шо нить вразумительное по этому поводу, буду благодарен за информацию !

"re"
Отправлено pva , 14-Авг-04 12:24 
здесь много всякого флейма, но хоть что нить по этому поводу есть:
(начали как обычно за здравие ... :)

http://forum.wbfree.net/forums/archive/index.php/t-23350.html

"re"
Отправлено mar , 14-Авг-04 19:21 

>http://forum.wbfree.net/forums/archive/index.php/t-23350.html
хм. беру свои слова назад. это, конечно, роботы (или вирусы ;)) -
пришло письмо freebsd-security рассылки, - там народ то же самое обсуждает. Ну в основном, все, что тут уже говорилось, кроме, пожалуй, одного любопытного письма. Привожу полностью:
Message: 5
Date: Fri, 13 Aug 2004 16:57:07 +0200

Heya,

this is probably the same piece of malware that has been discussed on f-d
recently. The username/password combination guest and test are hardcoded into
a little statically linked binary which is commonly used together with a
SYN scanner.

Chances are good these attempts are coming from a compromised box - you may
want to look into that if it is in your realms.

If you need more info, I disassembled them both and made a quick analysis, check
the f-d archives.

Cheers, J.

"re"
Отправлено RebelX , 14-Авг-04 20:06 
>не думаю что провайдеру мои проблемы интересны :)
>почти на 99% уверен что остается или смирится или .. или оставить
>все как есть.. судя по логам - скан происходит в одни
>и те же промежутки времени вот уже 2 недели, практически точь
>в точь.. значит в сети какой то новый вирус прописался.. пока
>неизвестный антивирлабам..

У меня таже фигня раз-два в день.
Я написал письмо прову, владельцу одного из исходных ip.
Включил кусок лога и написал что могут быть проблемы как у меня так и у него (забугорного прова)... Не знаю что сделал пров, но с того ip обращений больше не было... правда и ответа от прова тоже (может он английский не знает?!)

"re"
Отправлено ru , 16-Авг-04 02:32 
Мужики сделайте порт для sshd не стандартный (2222)
конечно это далеко не понацея но после этого я
в своих логах давно подобного не видел ведь
как правило сканельщики лазят по стандартным портам

"re"
Отправлено EvilX , 16-Авг-04 05:03 
Ты не прав. Провайдерам это очень интересно. Я на такие вещи гляжу whois, устанавливаю кто владелец айпишников и отписываю на адрес мэйла. В 9 случаях из 10 письмо просматривается человеком и обычно там прооводятся разъяснительные мероприятия. Специально эксперименет ставил с товарищем с запада. Так что рекомендую написать. ИМХО хоть от хакеров и не спасёшься, но скрипт кидисов остановишь.
В письме пишешь  что-нить типа
hackers attack atempt from your hosts:
<list of ips>

Далее вкладываешь фрагмент лога.
Время реакции от 15 минут до 1 дня.
Последний пример. Пытались так же ламерно поломать, причём поток шёёл с разных айпи, разных провайдеров. Шло в течении уже 2-х дней не переставая. Т.к. я был в отпуске вынужденом, то не мог проконтролировать. Когда увидел это, то не мудурствуя лукаво написал письма по предложеной технологии и через сутки поток прекратился.
От провайдеров ответные письма пришли. Но это стандартная отписка:
>thank you for bringing this matter to our attention. The account in >question
>has been suspended.

Так что надо писать. Лишние сообщениня из логов убираются сразу. И детишек лишний раз надо попугать.

"re"
Отправлено Sergei Wind , 16-Авг-04 10:23 
...
Aug 14 21:36:33 Kaitec sshd[16698]: Illegal user test from 62.161.32.65
Aug 14 21:36:33 Kaitec sshd[16698]: Failed password for illegal user test from 62.161.32.65 port 2870 ssh2
Aug 14 21:36:34 Kaitec sshd[16700]: Illegal user guest from 62.161.32.65
Aug 14 21:36:34 Kaitec sshd[16700]: Failed password for illegal user guest from 62.161.32.65 port 2931 ssh2
Aug 14 21:36:36 Kaitec sshd[16702]: Illegal user admin from 62.161.32.65
Aug 14 21:36:36 Kaitec sshd[16702]: Failed password for illegal user admin from 62.161.32.65 port 3008 ssh2
Aug 14 21:36:38 Kaitec sshd[16704]: Illegal user admin from 62.161.32.65
Aug 14 21:36:38 Kaitec sshd[16704]: Failed password for illegal user admin from 62.161.32.65 port 3090 ssh2
Aug 14 21:36:42 Kaitec sshd[16706]: Illegal user user from 62.161.32.65
Aug 14 21:36:42 Kaitec sshd[16706]: Failed password for illegal user user from 62.161.32.65 port 3178 ssh2
Aug 14 21:36:44 Kaitec sshd[16708]: Failed password for root from 62.161.32.65 port 3354 ssh2
Aug 14 21:36:45 Kaitec sshd[16710]: Failed password for root from 62.161.32.65 port 3428 ssh2
Aug 14 21:36:47 Kaitec sshd[16712]: Failed password for root from 62.161.32.65 port 3505 ssh2
....

Как говорится, те же яйца, только в профиль. Началось где то неделю назад и каждый день регулярно повторяется. Наверное и вправду надо писма начинать писать.

"У меня такая же байда "
Отправлено Александр__ , 11-Окт-04 15:20 
У меня такая же байда
с перепугу поставил пароль 60 символов )) пусть подбиирают ))
"У меня такая же байда "
Отправлено qwerty , 11-Окт-04 15:26 
вот тока логи посмотрел - ЗАТРАХАЛИ млин!
похоже атака по словарю началась
Oct 10 11:40:36 мой_сервер sshd[37993]: Failed password for qwerty from 62.118.144.196 port 3182 ssh2
Oct 10 14:13:44 мой_сервер sshd[38232]: Failed password for nobody from 210.90.74.196 port 2348 ssh2
Oct 10 14:13:48 мой_сервер sshd[38234]: Failed password for invalid user patrick from 210.90.74.196 port 2377 ssh2
Oct 10 14:13:52 мой_сервер sshd[38236]: Failed password for invalid user patrick from 210.90.74.196 port 2414 ssh2
Oct 10 15:59:10 мой_сервер sshd[38377]: Failed password for nobody from 212.34.137.173 port 56091 ssh2
Oct 10 15:59:14 мой_сервер sshd[38379]: Failed password for invalid user patrick from 212.34.137.173 port 56123 ssh2
Oct 10 15:59:17 мой_сервер sshd[38381]: Failed password for invalid user patrick from 212.34.137.173 port 56246 ssh2
Oct 10 18:14:15 мой_сервер sshd[38572]: Failed password for nobody from 211.43.217.240 port 56624 ssh2
Oct 10 18:14:19 мой_сервер sshd[38574]: Failed password for invalid user patrick from 211.43.217.240 port 56951 ssh2
Oct 10 18:14:23 мой_сервер sshd[38576]: Failed password for invalid user patrick from 211.43.217.240 port 57256 ssh2
Oct 10 18:14:26 мой_сервер sshd[38578]: Failed password for root from 211.43.217.240 port 57584 ssh2
Oct 10 18:14:31 мой_сервер sshd[38580]: Failed password for root from 211.43.217.240 port 57869 ssh2
Oct 10 18:14:36 мой_сервер sshd[38582]: Failed password for root from 211.43.217.240 port 58373 ssh2
Oct 10 18:14:41 мой_сервер sshd[38584]: Failed password for root from 211.43.217.240 port 58658 ssh2
Oct 10 18:14:44 мой_сервер sshd[38586]: Failed password for root from 211.43.217.240 port 59030 ssh2
Oct 10 18:14:48 мой_сервер sshd[38588]: Failed password for invalid user rolo from 211.43.217.240 port 59330 ssh2
Oct 10 18:14:51 мой_сервер sshd[38590]: Failed password for invalid user iceuser from 211.43.217.240 port 59621 ssh2
Oct 10 18:14:55 мой_сервер sshd[38592]: Failed password for invalid user horde from 211.43.217.240 port 59924 ssh2
Oct 10 18:14:58 мой_сервер sshd[38594]: Failed password for invalid user cyrus from 211.43.217.240 port 60205 ssh2
Oct 10 18:15:02 мой_сервер sshd[38596]: Failed password for www from 211.43.217.240 port 60506 ssh2
Oct 10 18:15:06 мой_сервер sshd[38601]: Failed password for invalid user wwwrun from 211.43.217.240 port 60796 ssh2
Oct 10 18:15:09 мой_сервер sshd[38603]: Failed password for invalid user matt from 211.43.217.240 port 32887 ssh2
Oct 10 18:15:13 мой_сервер sshd[38605]: Failed password for invalid user test from 211.43.217.240 port 33205 ssh2
Oct 10 18:15:16 мой_сервер sshd[38607]: Failed password for invalid user test from 211.43.217.240 port 33562 ssh2
Oct 10 18:15:21 мой_сервер sshd[38609]: Failed password for invalid user test from 211.43.217.240 port 33885 ssh2
Oct 10 18:15:26 мой_сервер sshd[38611]: Failed password for invalid user test from 211.43.217.240 port 34315 ssh2
Oct 10 18:15:29 мой_сервер sshd[38613]: Failed password for invalid user www-data from 211.43.217.240 port 34708 ssh2
Oct 10 18:15:33 мой_сервер sshd[38615]: Failed password for mysql from 211.43.217.240 port 35020 ssh2