forum.opennet.ru - "Хакеры?! Уже поздно или ещё..." (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Хакеры?! Уже поздно или ещё..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Хакеры?! Уже поздно или ещё..."
Сообщение от VZ on 15-Дек-02, 17:20 (MSK)
Только сейчас добрался до консоли сервера. Глядь, а на экране: Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname: getaddrinfo(sylvester.fatal-error.net, AF_INET) failed Смотрю /var/log/auth.log Dec 13 07:49:48 freebsd sshd[49515]: Did not receive identification string from 64.180.111.161. Dec 13 07:50:59 freebsd sshd[49532]: Did not receive identification string from 64.180.111.161. Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname: getaddrinfo(sylvester.fatal-error.net, AF_INET) failed Dec 14 10:40:11 freebsd sshd[57464]: Did not receive identification string from 193.79.178.249. Dec 14 22:39:28 freebsd sshd[59845]: Did not receive identification string from 64.180.111.161. Dec 14 22:40:48 freebsd sshd[59862]: Did not receive identification string from 64.180.111.161. Что мне делать? Как проверить что они сделали? Как защитить мой сервер?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Хакеры?! Уже поздно или ещё..., LinaS, 17:34 , 15-Дек-02, (1)
- RE: Хакеры?! Уже поздно или ещё..., VZ, 17:39 , 15-Дек-02, (2)
  - RE: Хакеры?! Уже поздно или ещё..., LinaS, 17:50 , 15-Дек-02, (3)
    - RE: Хакеры?! Уже поздно или ещё..., RomaTr, 00:21 , 17-Дек-02, (4)
RE: Хакеры?! Уже поздно или ещё..., als, 08:11 , 17-Дек-02, (5)
RE: Хакеры?! Уже поздно или ещё..., 0qwerty, 09:57 , 17-Дек-02, (6)
- RE: Хакеры?! Уже поздно или ещё..., LinaS, 10:08 , 17-Дек-02, (7)
  - RE: Хакеры?! Уже поздно или ещё..., VZ, 15:11 , 17-Дек-02, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Хакеры?! Уже поздно или ещё..."

Сообщение от LinaS on 15-Дек-02, 17:34  (MSK)

>Только сейчас добрался до консоли сервера. Глядь, а на экране:
>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname:
>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
>Смотрю /var/log/auth.log
>Dec 13 07:49:48 freebsd sshd[49515]: Did not receive identification string from 64.180.111.161.
>
>Dec 13 07:50:59 freebsd sshd[49532]: Did not receive identification string from 64.180.111.161.
>
>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname:
>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
>Dec 14 10:40:11 freebsd sshd[57464]: Did not receive identification string from 193.79.178.249.
>
>Dec 14 22:39:28 freebsd sshd[59845]: Did not receive identification string from 64.180.111.161.
>
>Dec 14 22:40:48 freebsd sshd[59862]: Did not receive identification string from 64.180.111.161.
>
>
>Что мне делать? Как проверить что они сделали? Как защитить мой сервер?
>
например, посканили nmap'ом или еще чем-то

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Хакеры?! Уже поздно или ещё..."

Сообщение от VZ on 15-Дек-02, 17:39  (MSK)

>>Только сейчас добрался до консоли сервера. Глядь, а на экране:
>>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname:
>>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
>>Смотрю /var/log/auth.log
>>Dec 13 07:49:48 freebsd sshd[49515]: Did not receive identification string from 64.180.111.161.
>>
>>Dec 13 07:50:59 freebsd sshd[49532]: Did not receive identification string from 64.180.111.161.
>>
>>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname:
>>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed
>>Dec 14 10:40:11 freebsd sshd[57464]: Did not receive identification string from 193.79.178.249.
>>
>>Dec 14 22:39:28 freebsd sshd[59845]: Did not receive identification string from 64.180.111.161.
>>
>>Dec 14 22:40:48 freebsd sshd[59862]: Did not receive identification string from 64.180.111.161.
>>
>>
>>Что мне делать? Как проверить что они сделали? Как защитить мой сервер?
>>
>
>например, посканили nmap'ом или еще чем-то
Т.е. это относительно безвредно. А мне надо читать opennet.ru и воплощать всевозможные советы по безопасности на сервере?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Хакеры?! Уже поздно или ещё..."

Сообщение от LinaS on 15-Дек-02, 17:50  (MSK)

>>например, посканили nmap'ом или еще чем-то
>
>Т.е. это относительно безвредно. А мне надо читать opennet.ru и воплощать всевозможные
>советы по безопасности на сервере?
да, думаю, от чтения вреда точно не будет  :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Хакеры?! Уже поздно или ещё..."

Сообщение от RomaTr on 17-Дек-02, 00:21  (MSK)

>>>например, посканили nmap'ом или еще чем-то
>>
>>Т.е. это относительно безвредно. А мне надо читать opennet.ru и воплощать всевозможные
>>советы по безопасности на сервере?
>
>да, думаю, от чтения вреда точно не будет  :)
Для мозгов нет, а для глаз да ;-)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Хакеры?! Уже поздно или ещё..."

Сообщение от als on 17-Дек-02, 08:11  (MSK)

Привет!
Не претендую на абсолютную правильность, но я для себя сие решил так.
когда совсем достали, поставил portsentry. Ловит себе потихоньку. Недавно наконец-то развернул ipfw, по принципу запрещено все, что не разрешено. после этого даже кривой arp пропал.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Хакеры?! Уже поздно или ещё..."

Сообщение от 0qwerty on 17-Дек-02, 09:57  (MSK)

во первых без паники!
просто удаленный юзер пытался подобрать пароль к SSH
а насчет сканера... сканер сканирует порты а не пытается подбирать пароли, вам ведь ясно логи показали ошибку авторизации так что делайте выводы..
а хозяину совет:
1) не паникуй! с таким делом сталкивается почти (если каждый сервер) все сервера которые видны в инете.
2) если ты сам не пользуеш удаленный доступ по SSH то просто не ставь его в автозагрузку
3) почитай доки которые идут со всеми фрями на русском языке в каталоге по ссылке
/usr/share/doc/ru_RU.KOI8-R/books/faq/
Удачи!

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Хакеры?! Уже поздно или ещё..."

Сообщение от LinaS on 17-Дек-02, 10:08  (MSK)

>во первых без паники!
>просто удаленный юзер пытался подобрать пароль к SSH
>а насчет сканера... сканер сканирует порты а не пытается подбирать пароли, вам
>ведь ясно логи показали ошибку авторизации так что делайте выводы..
видно из логов как раз то, что попытки авторизоваться НЕ БЫЛО.
Dec 15 17:32:17 mail sshd[83837]: Did not receive identification string from A.B.C.D
поскань себя nmap'ом и получишь именно такое в логах
а вот неудачная попытка авторизации выглядит по-другому:
Dec 17 10:10:43 mail sshd[76422]: Failed none for illegal user linas from 172.19.200.20 port 1318
Dec 17 10:10:45 mail sshd[76422]: Failed password for illegal user linas from 172.19.200.20 port 1318
разница, думаю, видна

>а хозяину совет:
>1) не паникуй! с таким делом сталкивается почти (если каждый сервер) все
>сервера которые видны в инете.
>2) если ты сам не пользуеш удаленный доступ по SSH то просто
>не ставь его в автозагрузку
>3) почитай доки которые идут со всеми фрями на русском языке в
>каталоге по ссылке
>/usr/share/doc/ru_RU.KOI8-R/books/faq/
>
>Удачи!

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Хакеры?! Уже поздно или ещё..."

Сообщение от VZ on 17-Дек-02, 15:11  (MSK)

Спасибо всем за ответы!
Пока я выставил (чтоб у них рука устала)
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
К сожалению ssh нужен, надо же за сервером хоть из далека наблюдать.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от LinaS on 15-Дек-02, 17:34 (MSK)
>Только сейчас добрался до консоли сервера. Глядь, а на экране: >Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname: >getaddrinfo(sylvester.fatal-error.net, AF_INET) failed >Смотрю /var/log/auth.log >Dec 13 07:49:48 freebsd sshd[49515]: Did not receive identification string from 64.180.111.161. > >Dec 13 07:50:59 freebsd sshd[49532]: Did not receive identification string from 64.180.111.161. > >Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname: >getaddrinfo(sylvester.fatal-error.net, AF_INET) failed >Dec 14 10:40:11 freebsd sshd[57464]: Did not receive identification string from 193.79.178.249. > >Dec 14 22:39:28 freebsd sshd[59845]: Did not receive identification string from 64.180.111.161. > >Dec 14 22:40:48 freebsd sshd[59862]: Did not receive identification string from 64.180.111.161. > > >Что мне делать? Как проверить что они сделали? Как защитить мой сервер? > например, посканили nmap'ом или еще чем-то
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Хакеры?! Уже поздно или ещё..."
	Сообщение от VZ on 15-Дек-02, 17:39 (MSK)
	>>Только сейчас добрался до консоли сервера. Глядь, а на экране: >>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname: >>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed >>Смотрю /var/log/auth.log >>Dec 13 07:49:48 freebsd sshd[49515]: Did not receive identification string from 64.180.111.161. >> >>Dec 13 07:50:59 freebsd sshd[49532]: Did not receive identification string from 64.180.111.161. >> >>Dec 14 10:40:11 freebsd sshd[57464]: warning: /etc/hosts.allow, line 23: can't verify hostname: >>getaddrinfo(sylvester.fatal-error.net, AF_INET) failed >>Dec 14 10:40:11 freebsd sshd[57464]: Did not receive identification string from 193.79.178.249. >> >>Dec 14 22:39:28 freebsd sshd[59845]: Did not receive identification string from 64.180.111.161. >> >>Dec 14 22:40:48 freebsd sshd[59862]: Did not receive identification string from 64.180.111.161. >> >> >>Что мне делать? Как проверить что они сделали? Как защитить мой сервер? >> > >например, посканили nmap'ом или еще чем-то Т.е. это относительно безвредно. А мне надо читать opennet.ru и воплощать всевозможные советы по безопасности на сервере?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Хакеры?! Уже поздно или ещё..."
	Сообщение от LinaS on 15-Дек-02, 17:50 (MSK)
	>>например, посканили nmap'ом или еще чем-то > >Т.е. это относительно безвредно. А мне надо читать opennet.ru и воплощать всевозможные >советы по безопасности на сервере? да, думаю, от чтения вреда точно не будет :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Хакеры?! Уже поздно или ещё..."
	Сообщение от RomaTr on 17-Дек-02, 00:21 (MSK)
	>>>например, посканили nmap'ом или еще чем-то >> >>Т.е. это относительно безвредно. А мне надо читать opennet.ru и воплощать всевозможные >>советы по безопасности на сервере? > >да, думаю, от чтения вреда точно не будет :) Для мозгов нет, а для глаз да ;-)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от als on 17-Дек-02, 08:11 (MSK)
Привет! Не претендую на абсолютную правильность, но я для себя сие решил так. когда совсем достали, поставил portsentry. Ловит себе потихоньку. Недавно наконец-то развернул ipfw, по принципу запрещено все, что не разрешено. после этого даже кривой arp пропал.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

6. "RE: Хакеры?! Уже поздно или ещё..."
Сообщение от 0qwerty on 17-Дек-02, 09:57 (MSK)
во первых без паники! просто удаленный юзер пытался подобрать пароль к SSH а насчет сканера... сканер сканирует порты а не пытается подбирать пароли, вам ведь ясно логи показали ошибку авторизации так что делайте выводы.. а хозяину совет: 1) не паникуй! с таким делом сталкивается почти (если каждый сервер) все сервера которые видны в инете. 2) если ты сам не пользуеш удаленный доступ по SSH то просто не ставь его в автозагрузку 3) почитай доки которые идут со всеми фрями на русском языке в каталоге по ссылке /usr/share/doc/ru_RU.KOI8-R/books/faq/ Удачи!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Хакеры?! Уже поздно или ещё..."
	Сообщение от LinaS on 17-Дек-02, 10:08 (MSK)
	>во первых без паники! >просто удаленный юзер пытался подобрать пароль к SSH >а насчет сканера... сканер сканирует порты а не пытается подбирать пароли, вам >ведь ясно логи показали ошибку авторизации так что делайте выводы.. видно из логов как раз то, что попытки авторизоваться НЕ БЫЛО. Dec 15 17:32:17 mail sshd[83837]: Did not receive identification string from A.B.C.D поскань себя nmap'ом и получишь именно такое в логах а вот неудачная попытка авторизации выглядит по-другому: Dec 17 10:10:43 mail sshd[76422]: Failed none for illegal user linas from 172.19.200.20 port 1318 Dec 17 10:10:45 mail sshd[76422]: Failed password for illegal user linas from 172.19.200.20 port 1318 разница, думаю, видна >а хозяину совет: >1) не паникуй! с таким делом сталкивается почти (если каждый сервер) все >сервера которые видны в инете. >2) если ты сам не пользуеш удаленный доступ по SSH то просто >не ставь его в автозагрузку >3) почитай доки которые идут со всеми фрями на русском языке в >каталоге по ссылке >/usr/share/doc/ru_RU.KOI8-R/books/faq/ > >Удачи!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Хакеры?! Уже поздно или ещё..."
	Сообщение от VZ on 17-Дек-02, 15:11 (MSK)
	Спасибо всем за ответы! Пока я выставил (чтоб у них рука устала) net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 К сожалению ssh нужен, надо же за сервером хоть из далека наблюдать.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх