The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Хакеры?! Уже поздно или ещё..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Хакеры?! Уже поздно или ещё..."
Сообщение от VZ emailИскать по авторуВ закладки on 15-Дек-02, 17:20  (MSK)
Только сейчас добрался до консоли сервера. Глядь, а на экране:
Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname: getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
Смотрю /var/log/auth.log
Dec 13 07:49:48 freebsd sshd[49515]: Did not receive identification string from 64.180.111.161.
Dec 13 07:50:59 freebsd sshd[49532]: Did not receive identification string from 64.180.111.161.
Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname: getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
Dec 14 10:40:11 freebsd sshd[57464]: Did not receive identification string from 193.79.178.249.
Dec 14 22:39:28 freebsd sshd[59845]: Did not receive identification string from 64.180.111.161.
Dec 14 22:40:48 freebsd sshd[59862]: Did not receive identification string from 64.180.111.161.

Что мне делать? Как проверить что они сделали? Как защитить мой сервер?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от LinaS emailИскать по авторуВ закладки on 15-Дек-02, 17:34  (MSK)
>Только сейчас добрался до консоли сервера. Глядь, а на экране:
>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname:
>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
>Смотрю /var/log/auth.log
>Dec 13 07:49:48 freebsd sshd[49515]: Did not receive identification string from 64.180.111.161.
>
>Dec 13 07:50:59 freebsd sshd[49532]: Did not receive identification string from 64.180.111.161.
>
>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname:
>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
>Dec 14 10:40:11 freebsd sshd[57464]: Did not receive identification string from 193.79.178.249.
>
>Dec 14 22:39:28 freebsd sshd[59845]: Did not receive identification string from 64.180.111.161.
>
>Dec 14 22:40:48 freebsd sshd[59862]: Did not receive identification string from 64.180.111.161.
>
>
>Что мне делать? Как проверить что они сделали? Как защитить мой сервер?
>

например, посканили nmap'ом или еще чем-то

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от VZ emailИскать по авторуВ закладки on 15-Дек-02, 17:39  (MSK)
>>Только сейчас добрался до консоли сервера. Глядь, а на экране:
>>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname:
>>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
>>Смотрю /var/log/auth.log
>>Dec 13 07:49:48 freebsd sshd[49515]: Did not receive identification string from 64.180.111.161.
>>
>>Dec 13 07:50:59 freebsd sshd[49532]: Did not receive identification string from 64.180.111.161.
>>
>>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname:
>>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
>>Dec 14 10:40:11 freebsd sshd[57464]: Did not receive identification string from 193.79.178.249.
>>
>>Dec 14 22:39:28 freebsd sshd[59845]: Did not receive identification string from 64.180.111.161.
>>
>>Dec 14 22:40:48 freebsd sshd[59862]: Did not receive identification string from 64.180.111.161.
>>
>>
>>Что мне делать? Как проверить что они сделали? Как защитить мой сервер?
>>
>
>например, посканили nmap'ом или еще чем-то

Т.е. это относительно безвредно. А мне надо читать opennet.ru и воплощать всевозможные советы по безопасности на сервере?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от LinaS emailИскать по авторуВ закладки on 15-Дек-02, 17:50  (MSK)
>>например, посканили nmap'ом или еще чем-то
>
>Т.е. это относительно безвредно. А мне надо читать opennet.ru и воплощать всевозможные
>советы по безопасности на сервере?

да, думаю, от чтения вреда точно не будет  :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от RomaTr emailИскать по авторуВ закладки on 17-Дек-02, 00:21  (MSK)
>>>например, посканили nmap'ом или еще чем-то
>>
>>Т.е. это относительно безвредно. А мне надо читать opennet.ru и воплощать всевозможные
>>советы по безопасности на сервере?
>
>да, думаю, от чтения вреда точно не будет  :)

Для мозгов нет, а для глаз да ;-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от als emailИскать по авторуВ закладки on 17-Дек-02, 08:11  (MSK)
Привет!
Не претендую на абсолютную правильность, но я для себя сие решил так.
когда совсем достали, поставил portsentry. Ловит себе потихоньку. Недавно наконец-то развернул ipfw, по принципу запрещено все, что не разрешено. после этого даже кривой arp пропал.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от 0qwerty emailИскать по авторуВ закладки on 17-Дек-02, 09:57  (MSK)
во первых без паники!
просто удаленный юзер пытался подобрать пароль к SSH
а насчет сканера... сканер сканирует порты а не пытается подбирать пароли, вам ведь ясно логи показали ошибку авторизации так что делайте выводы..
а хозяину совет:
1) не паникуй! с таким делом сталкивается почти (если каждый сервер) все сервера которые видны в инете.
2) если ты сам не пользуеш удаленный доступ по SSH то просто не ставь его в автозагрузку
3) почитай доки которые идут со всеми фрями на русском языке в каталоге по ссылке
/usr/share/doc/ru_RU.KOI8-R/books/faq/

Удачи!

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от LinaS emailИскать по авторуВ закладки on 17-Дек-02, 10:08  (MSK)
>во первых без паники!
>просто удаленный юзер пытался подобрать пароль к SSH
>а насчет сканера... сканер сканирует порты а не пытается подбирать пароли, вам
>ведь ясно логи показали ошибку авторизации так что делайте выводы..

видно из логов как раз то, что попытки авторизоваться НЕ БЫЛО.

Dec 15 17:32:17 mail sshd[83837]: Did not receive identification string from A.B.C.D

поскань себя nmap'ом и получишь именно такое в логах

а вот неудачная попытка авторизации выглядит по-другому:

Dec 17 10:10:43 mail sshd[76422]: Failed none for illegal user linas from 172.19.200.20 port 1318
Dec 17 10:10:45 mail sshd[76422]: Failed password for illegal user linas from 172.19.200.20 port 1318

разница, думаю, видна


>а хозяину совет:
>1) не паникуй! с таким делом сталкивается почти (если каждый сервер) все
>сервера которые видны в инете.
>2) если ты сам не пользуеш удаленный доступ по SSH то просто
>не ставь его в автозагрузку
>3) почитай доки которые идут со всеми фрями на русском языке в
>каталоге по ссылке
>/usr/share/doc/ru_RU.KOI8-R/books/faq/
>
>Удачи!


  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от VZ emailИскать по авторуВ закладки on 17-Дек-02, 15:11  (MSK)
Спасибо всем за ответы!
Пока я выставил (чтоб у них рука устала)
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1

К сожалению ssh нужен, надо же за сервером хоть из далека наблюдать.

  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру