forum.opennet.ru - "кто-то лезет по ssh" (19)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"кто-то лезет по ssh"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"кто-то лезет по ssh"
Сообщение от Jan (??) on 15-Мрт-06, 17:28
Всем привет! След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я понимаю, можно только физически отключить комп на ночь - ведь хоть данному хакеру не удается сломать пароль рута, но пакеты-то он шлет, поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли такой бешеный рост трафика при переборе паролей по ssh при приличном количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

кто-то лезет по ssh, Император, 17:36 , 15-Мрт-06, (1)

кто-то лезет по ssh, Jan, 17:45 , 15-Мрт-06, (2)

кто-то лезет по ssh, Den, 02:32 , 16-Мрт-06, (3)
кто-то лезет по ssh, onorua, 06:49 , 16-Мрт-06, (4)

кто-то лезет по ssh, satelit, 07:08 , 16-Мрт-06, (5)

кто-то лезет по ssh, Jan, 07:53 , 16-Мрт-06, (6)

кто-то лезет по ssh, satelit, 08:52 , 16-Мрт-06, (7)

кто-то лезет по ssh, Дениска, 08:57 , 16-Мрт-06, (8)
кто-то лезет по ssh, mobilepost, 18:26 , 16-Мрт-06, (19)

кто-то лезет по ssh, John, 09:12 , 16-Мрт-06, (9)

кто-то лезет по ssh, Jan, 10:33 , 16-Мрт-06, (10)

кто-то лезет по ssh, John, 12:05 , 16-Мрт-06, (11)

кто-то лезет по ssh, Jan, 12:47 , 16-Мрт-06, (12)

кто-то лезет по ssh, satelit, 12:51 , 16-Мрт-06, (13)

кто-то лезет по ssh, Jan, 13:11 , 16-Мрт-06, (14)

кто-то лезет по ssh, John, 13:13 , 16-Мрт-06, (15)

кто-то лезет по ssh, Jan, 17:54 , 16-Мрт-06, (16)

кто-то лезет по ssh, _KAV_, 18:01 , 16-Мрт-06, (17)

кто-то лезет по ssh, Император, 18:21 , 16-Мрт-06, (18)

Сообщения по теме [Сортировка по времени, UBB]

1. "кто-то лезет по ssh"

Сообщение от Император on 15-Мрт-06, 17:36

>Всем привет!
>След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей
>на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я
>понимаю, можно только физически отключить комп на ночь - ведь хоть
>данному хакеру не удается сломать пароль рута, но пакеты-то он шлет,
>поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по
>какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли
>такой бешеный рост трафика при переборе паролей по ssh при приличном
>количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!

Ну не думаю, что траффик огромен да и не один ты такой кого постоянно перебирают. Как вариант пересади ssh на порт выше.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "кто-то лезет по ssh"

Сообщение от Jan (??) on 15-Мрт-06, 17:45

>Ну не думаю, что траффик огромен да и не один ты такой
>кого постоянно перебирают. Как вариант пересади ssh на порт выше.
А если перебирать очень быстро? С нехилой скоростью? Или, предположим, ssh не может так поднять траффик. ФТП отключен, сайт, ДНС - тоже. Все вырублено нафиг. Но трафик растет каждую ночь, как грибы. Где искать, какой сервис может так поднять инкаминг-трафик?? Только не говорите, что у меня сервак ночью сам себе порнуху гигами качает. Кто сталкивался с такой проблемой, куда смотреть, где копать??

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "кто-то лезет по ssh"

Сообщение от Den (??) on 16-Мрт-06, 02:32

В sshd_config пропиши:
AllowUsers den@112.112.34.10 и спи спокойно

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "кто-то лезет по ssh"

Сообщение от onorua (??) on 16-Мрт-06, 06:49

>>Ну не думаю, что траффик огромен да и не один ты такой
>>кого постоянно перебирают. Как вариант пересади ssh на порт выше.
>
>А если перебирать очень быстро? С нехилой скоростью? Или, предположим, ssh не
>может так поднять траффик. ФТП отключен, сайт, ДНС - тоже. Все
>вырублено нафиг. Но трафик растет каждую ночь, как грибы. Где искать,
>какой сервис может так поднять инкаминг-трафик?? Только не говорите, что у
>меня сервак ночью сам себе порнуху гигами качает. Кто сталкивался с
>такой проблемой, куда смотреть, где копать??
Я однажды тестил конфигурацию апача на секьюрность. За 2 скана сожрало 20 метров. Так что думаю что это может быть... но... поищи в торону скриптов, которые лочат на уровне фаервола, если был запрос по неправильному логину или на рута. Я такой видел на перле. Вот не помню где.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "кто-то лезет по ssh"

Сообщение от satelit on 16-Мрт-06, 07:08

>Всем привет!
>След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей
>на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я
>понимаю, можно только физически отключить комп на ночь - ведь хоть
>данному хакеру не удается сломать пароль рута, но пакеты-то он шлет,
>поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по
>какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли
>такой бешеный рост трафика при переборе паролей по ssh при приличном
>количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!
Если надо решить проблему локально, чисто саша, то перевесить на дркгой порт и правка sshd_config, если глобально, т.е. все подобные подключения и сканы на все порты и сервисы, то тогда SNORT или PORTSENTRY, какой больше вам подходит.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "кто-то лезет по ssh"

Сообщение от Jan (??) on 16-Мрт-06, 07:53

>Если надо решить проблему локально, чисто саша, то перевесить на дркгой порт
>и правка sshd_config, если глобально, т.е. все подобные подключения и сканы
>на все порты и сервисы, то тогда SNORT или PORTSENTRY, какой
>больше вам подходит.
Насчет portsentry - прога спасет при переборе паролей? Ведь сканирования нет, идет просто перебор...вот в чем фишка

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "кто-то лезет по ssh"

Сообщение от satelit on 16-Мрт-06, 08:52

>Насчет portsentry - прога спасет при переборе паролей? Ведь сканирования нет, идет
>просто перебор...вот в чем фишка
1) перевесить на другой порт
2) ограничить количество подключений в 1 подключение в секунду, быстрее ты всеравно не сможешь руками сделать.
3) разрешить на подключение только свои подсети, ну или на крайний случай сети своего города или того прова с которого ты будешь заходить на сервак снаружи.
4) SNORT PORTSENTRY не помню какой точно, у них разное назначение, но он может отслеживать подключения и перебор паролей.
5) выставить задержку при авторизации в 1 сек (если не ошибаюсь это pam_passwd, его использует саша для авторизации по /etc/passwd).

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "кто-то лезет по ssh"

Сообщение от Дениска (ok) on 16-Мрт-06, 08:57

сомнительно, честно говоря, чтобы гигами трафик рос при переборе паролей по ssh.
Повесь на тазик считалку трафика - (хоть ipfw логируй ВСЕ каким нить правилом). Утром посмотришь, откуда ноги у твоего трафика растут.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "кто-то лезет по ssh"

Сообщение от mobilepost on 16-Мрт-06, 18:26

>5) выставить задержку при авторизации в 1 сек (если не ошибаюсь это
>pam_passwd, его использует саша для авторизации по /etc/passwd).
Извините за тупость....
Можно поподробней еще раз?
Как выставить задержку при авторизации?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "кто-то лезет по ssh"

Сообщение от John (??) on 16-Мрт-06, 09:12

>Всем привет!
>След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей
>на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я
>понимаю, можно только физически отключить комп на ночь - ведь хоть
>данному хакеру не удается сломать пароль рута, но пакеты-то он шлет,
>поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по
>какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли
>такой бешеный рост трафика при переборе паролей по ssh при приличном
>количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!!

Вставлю свои 5 копеек:
http://www.debian-administration.org/articles/268
также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "кто-то лезет по ssh"

Сообщение от Jan (??) on 16-Мрт-06, 10:33

>Вставлю свои 5 копеек:
>http://www.debian-administration.org/articles/268
>также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.
Всем спасибо! Еще один вопрос: что значит след. запись в /var/log/secure
Mar 15 10:29:57 firma_server xinetd[3078]: START: auth pid = 8016 from 111.222.333.444
Ипишник левый какой-то... Что именно xinetd делает с этим ИП?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "кто-то лезет по ssh"

Сообщение от John (??) on 16-Мрт-06, 12:05

>>Вставлю свои 5 копеек:
>>http://www.debian-administration.org/articles/268
>>также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.
>
>Всем спасибо! Еще один вопрос: что значит след. запись в /var/log/secure
>
>Mar 15 10:29:57 firma_server xinetd[3078]: START: auth pid = 8016 from 111.222.333.444
>
>
>Ипишник левый какой-то... Что именно xinetd делает с этим ИП?

Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов. Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса через xinetd. Файлы, содержащие disable = yes - сервис не запускается. man xinetd.conf

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "кто-то лезет по ssh"

Сообщение от Jan (??) on 16-Мрт-06, 12:47

>Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов.
>Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса
>через xinetd. Файлы, содержащие disable = yes - сервис не запускается.
>man xinetd.conf
Угу нашел такой спасибо! И еще, что значит^
device eth0 entered promiscuous mode
??
Что это за режим такой?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "кто-то лезет по ssh"

Сообщение от satelit on 16-Мрт-06, 12:51

>>Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов.
>>Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса
>>через xinetd. Файлы, содержащие disable = yes - сервис не запускается.
>>man xinetd.conf
>
>Угу нашел такой спасибо! И еще, что значит^
>device eth0 entered promiscuous mode
>??
>
>Что это за режим такой?

Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на наличие всяких интересностей.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "кто-то лезет по ssh"

Сообщение от Jan (??) on 16-Мрт-06, 13:11

>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на
>наличие всяких интересностей.
Да ты лучше просто скажи, что такое этот promiscous mode !

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "кто-то лезет по ssh"

Сообщение от John (??) on 16-Мрт-06, 13:13

>>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на
>>наличие всяких интересностей.
>
>Да ты лучше просто скажи, что такое этот promiscous mode !

Прием на интерфейсе всех приходящих пакетов, независимо от адреса получателя.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "кто-то лезет по ssh"

Сообщение от Jan (??) on 16-Мрт-06, 17:54

Господа, еще вопрос: если отказаться платить за превышенный трафик (потому как была де-факто атака). Если будет суд, кто его выиграет?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "кто-то лезет по ssh"

Сообщение от _KAV_ (ok) on 16-Мрт-06, 18:01

>Господа, еще вопрос: если отказаться платить за превышенный трафик (потому как была
>де-факто атака). Если будет суд, кто его выиграет?
Провайдер. Максимум - пытаться повесить счет на того, кто поломал, но суметь найти и доказать в суде....

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "кто-то лезет по ssh"

Сообщение от Император on 16-Мрт-06, 18:21

>>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на
>>наличие всяких интересностей.
>
>Да ты лучше просто скажи, что такое этот promiscous mode !

Интерфейс прослушивается.
Вот отсюда и траффик хулиганы Ленку Беркову походу качают! :)
Tcpdump не запускал? хотя если не занешь что такое promiscous mode значит не пущал.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "кто-то лезет по ssh"
Сообщение от Император on 15-Мрт-06, 17:36
>Всем привет! >След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей >на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я >понимаю, можно только физически отключить комп на ночь - ведь хоть >данному хакеру не удается сломать пароль рута, но пакеты-то он шлет, >поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по >какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли >такой бешеный рост трафика при переборе паролей по ssh при приличном >количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!! Ну не думаю, что траффик огромен да и не один ты такой кого постоянно перебирают. Как вариант пересади ssh на порт выше.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "кто-то лезет по ssh"
	Сообщение от Jan (??) on 15-Мрт-06, 17:45
	>Ну не думаю, что траффик огромен да и не один ты такой >кого постоянно перебирают. Как вариант пересади ssh на порт выше. А если перебирать очень быстро? С нехилой скоростью? Или, предположим, ssh не может так поднять траффик. ФТП отключен, сайт, ДНС - тоже. Все вырублено нафиг. Но трафик растет каждую ночь, как грибы. Где искать, какой сервис может так поднять инкаминг-трафик?? Только не говорите, что у меня сервак ночью сам себе порнуху гигами качает. Кто сталкивался с такой проблемой, куда смотреть, где копать??
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "кто-то лезет по ssh"
	Сообщение от Den (??) on 16-Мрт-06, 02:32
	В sshd_config пропиши: AllowUsers den@112.112.34.10 и спи спокойно
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "кто-то лезет по ssh"
	Сообщение от onorua (??) on 16-Мрт-06, 06:49
	>>Ну не думаю, что траффик огромен да и не один ты такой >>кого постоянно перебирают. Как вариант пересади ssh на порт выше. > >А если перебирать очень быстро? С нехилой скоростью? Или, предположим, ssh не >может так поднять траффик. ФТП отключен, сайт, ДНС - тоже. Все >вырублено нафиг. Но трафик растет каждую ночь, как грибы. Где искать, >какой сервис может так поднять инкаминг-трафик?? Только не говорите, что у >меня сервак ночью сам себе порнуху гигами качает. Кто сталкивался с >такой проблемой, куда смотреть, где копать?? Я однажды тестил конфигурацию апача на секьюрность. За 2 скана сожрало 20 метров. Так что думаю что это может быть... но... поищи в торону скриптов, которые лочат на уровне фаервола, если был запрос по неправильному логину или на рута. Я такой видел на перле. Вот не помню где.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

5. "кто-то лезет по ssh"
Сообщение от satelit on 16-Мрт-06, 07:08
>Всем привет! >След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей >на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я >понимаю, можно только физически отключить комп на ночь - ведь хоть >данному хакеру не удается сломать пароль рута, но пакеты-то он шлет, >поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по >какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли >такой бешеный рост трафика при переборе паролей по ssh при приличном >количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!! Если надо решить проблему локально, чисто саша, то перевесить на дркгой порт и правка sshd_config, если глобально, т.е. все подобные подключения и сканы на все порты и сервисы, то тогда SNORT или PORTSENTRY, какой больше вам подходит.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "кто-то лезет по ssh"
	Сообщение от Jan (??) on 16-Мрт-06, 07:53
	>Если надо решить проблему локально, чисто саша, то перевесить на дркгой порт >и правка sshd_config, если глобально, т.е. все подобные подключения и сканы >на все порты и сервисы, то тогда SNORT или PORTSENTRY, какой >больше вам подходит. Насчет portsentry - прога спасет при переборе паролей? Ведь сканирования нет, идет просто перебор...вот в чем фишка
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "кто-то лезет по ssh"
	Сообщение от satelit on 16-Мрт-06, 08:52
	>Насчет portsentry - прога спасет при переборе паролей? Ведь сканирования нет, идет >просто перебор...вот в чем фишка 1) перевесить на другой порт 2) ограничить количество подключений в 1 подключение в секунду, быстрее ты всеравно не сможешь руками сделать. 3) разрешить на подключение только свои подсети, ну или на крайний случай сети своего города или того прова с которого ты будешь заходить на сервак снаружи. 4) SNORT PORTSENTRY не помню какой точно, у них разное назначение, но он может отслеживать подключения и перебор паролей. 5) выставить задержку при авторизации в 1 сек (если не ошибаюсь это pam_passwd, его использует саша для авторизации по /etc/passwd).
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "кто-то лезет по ssh"
	Сообщение от Дениска (ok) on 16-Мрт-06, 08:57
	сомнительно, честно говоря, чтобы гигами трафик рос при переборе паролей по ssh. Повесь на тазик считалку трафика - (хоть ipfw логируй ВСЕ каким нить правилом). Утром посмотришь, откуда ноги у твоего трафика растут.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	19. "кто-то лезет по ssh"
	Сообщение от mobilepost on 16-Мрт-06, 18:26
	>5) выставить задержку при авторизации в 1 сек (если не ошибаюсь это >pam_passwd, его использует саша для авторизации по /etc/passwd). Извините за тупость.... Можно поподробней еще раз? Как выставить задержку при авторизации?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

9. "кто-то лезет по ssh"
Сообщение от John (??) on 16-Мрт-06, 09:12
>Всем привет! >След. проблема - резко подскочил траффик. Посмотрел логи - идет перебор паролей >на ssh, все происходит ночью. Трафик вырос просто астро-офигенно Как я >понимаю, можно только физически отключить комп на ночь - ведь хоть >данному хакеру не удается сломать пароль рута, но пакеты-то он шлет, >поэтому траффик растет (incoming). Но что-то меня терзают сомнения. Может, по >какой другой причине может вырасти трафик? Кто поскажет советом? Возможен ли >такой бешеный рост трафика при переборе паролей по ssh при приличном >количестве паролей и логинов в секунду??? NEED HEEEEEEEEEEEEEEEEELP!!!!!!!!!!!!!! Вставлю свои 5 копеек: http://www.debian-administration.org/articles/268 также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	10. "кто-то лезет по ssh"
	Сообщение от Jan (??) on 16-Мрт-06, 10:33
	>Вставлю свои 5 копеек: >http://www.debian-administration.org/articles/268 >также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю. Всем спасибо! Еще один вопрос: что значит след. запись в /var/log/secure Mar 15 10:29:57 firma_server xinetd[3078]: START: auth pid = 8016 from 111.222.333.444 Ипишник левый какой-то... Что именно xinetd делает с этим ИП?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	11. "кто-то лезет по ssh"
	Сообщение от John (??) on 16-Мрт-06, 12:05
	>>Вставлю свои 5 копеек: >>http://www.debian-administration.org/articles/268 >>также поищите по форуму, вопрос с перебором паролей по SSH возникает 1-2/1неделю. > >Всем спасибо! Еще один вопрос: что значит след. запись в /var/log/secure > >Mar 15 10:29:57 firma_server xinetd[3078]: START: auth pid = 8016 from 111.222.333.444 > > >Ипишник левый какой-то... Что именно xinetd делает с этим ИП? Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов. Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса через xinetd. Файлы, содержащие disable = yes - сервис не запускается. man xinetd.conf
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	12. "кто-то лезет по ssh"
	Сообщение от Jan (??) on 16-Мрт-06, 12:47
	>Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов. >Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса >через xinetd. Файлы, содержащие disable = yes - сервис не запускается. >man xinetd.conf Угу нашел такой спасибо! И еще, что значит^ device eth0 entered promiscuous mode ?? Что это за режим такой?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	13. "кто-то лезет по ssh"
	Сообщение от satelit on 16-Мрт-06, 12:51
	>>Видимо запускается какой-то сервис через xinetd. Посмотрите еще в других файлах логов. >>Посмотрите каталог /etc/xinetd.d в нем каждый файл - настройки запуска сервиса >>через xinetd. Файлы, содержащие disable = yes - сервис не запускается. >>man xinetd.conf > >Угу нашел такой спасибо! И еще, что значит^ >device eth0 entered promiscuous mode >?? > >Что это за режим такой? Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на наличие всяких интересностей.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	14. "кто-то лезет по ssh"
	Сообщение от Jan (??) on 16-Мрт-06, 13:11
	>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на >наличие всяких интересностей. Да ты лучше просто скажи, что такое этот promiscous mode !
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	15. "кто-то лезет по ssh"
	Сообщение от John (??) on 16-Мрт-06, 13:13
	>>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на >>наличие всяких интересностей. > >Да ты лучше просто скажи, что такое этот promiscous mode ! Прием на интерфейсе всех приходящих пакетов, независимо от адреса получателя.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	16. "кто-то лезет по ssh"
	Сообщение от Jan (??) on 16-Мрт-06, 17:54
	Господа, еще вопрос: если отказаться платить за превышенный трафик (потому как была де-факто атака). Если будет суд, кто его выиграет?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	17. "кто-то лезет по ssh"
	Сообщение от _KAV_ (ok) on 16-Мрт-06, 18:01
	>Господа, еще вопрос: если отказаться платить за превышенный трафик (потому как была >де-факто атака). Если будет суд, кто его выиграет? Провайдер. Максимум - пытаться повесить счет на того, кто поломал, но суметь найти и доказать в суде....
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	18. "кто-то лезет по ssh"
	Сообщение от Император on 16-Мрт-06, 18:21
	>>Да-а-а, по ходу дела тебя поломали, а теперь снифают твою сетку на >>наличие всяких интересностей. > >Да ты лучше просто скажи, что такое этот promiscous mode ! Интерфейс прослушивается. Вот отсюда и траффик хулиганы Ленку Беркову походу качают! :) Tcpdump не запускал? хотя если не занешь что такое promiscous mode значит не пущал.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]