ProXymus Skrevet 17. august 2004 Del Skrevet 17. august 2004 Jeg så nettopp litt rundt i log filene "messages" og "syslog" på slackware maskinen min.. Så oppdaget jeg dette overalt i messages fra masse forskjellige iper på veldig forskjellige tider. Er det noen som prøver å komme inn på maskinen min? Aug 17 04:53:11 *** sshd[20369]: Illegal user test from ::ffff:193.52.239.242 Aug 17 04:53:11 *** sshd[20369]: Failed password for illegal user test from ::ffff:193.52.239.242 port 35462 ssh2 Aug 17 04:53:15 *** sshd[20371]: Illegal user guest from ::ffff:193.52.239.242 Aug 17 04:53:15 *** sshd[20371]: Failed password for illegal user guest from ::ffff:193.52.239.242 port 35481 ssh2 Aug 17 04:53:16 *** sshd[20373]: Illegal user admin from ::ffff:193.52.239.242 Aug 17 04:53:16 *** sshd[20373]: Failed password for illegal user admin from ::ffff:193.52.239.242 port 35598 ssh2 Aug 17 04:53:24 *** sshd[20375]: Illegal user admin from ::ffff:193.52.239.242 Aug 17 04:53:24 *** sshd[20375]: Failed password for illegal user admin from ::ffff:193.52.239.242 port 35736 ssh2 Aug 17 04:53:24 *** sshd[20377]: Illegal user user from ::ffff:193.52.239.242 Lenke til kommentar
P_e_pper Skrevet 17. august 2004 Del Skrevet 17. august 2004 Det kan virke sånn ja. Prøv å lukke portene han prøver på eller eventuelt lage et program som setter opp falskt shell der han prøver seg og se hva han gjør? (få programmet du lager til å logge alle kommandoene). Lenke til kommentar
ProXymus Skrevet 17. august 2004 Forfatter Del Skrevet 17. august 2004 (endret) Vil helst bare holde han/dem unna maskinen min. Føler meg ikke helt trygg lixom. Ser ut til at dem prøver seg hver 4 time eller no slikt fra forskjellige iper og samme brukernavn Endret 17. august 2004 av ProXymus Lenke til kommentar
ProXymus Skrevet 17. august 2004 Forfatter Del Skrevet 17. august 2004 Dem bruker også mange forskjellige porter så jeg vet ikke det går å blokke dem... Har også lagt merke til at veldig mange folk prøver å bruke DNS-Cache'n min: Aug 17 09:21:39 *** named[804]: client 212.187.170.2#47518: query (cache) denied Aug 17 09:21:40 *** named[804]: client 212.162.1.194#57916: query (cache) denied Aug 17 09:31:42 *** named[804]: client 208.185.54.14#30832: query (cache) denied Aug 17 09:51:45 *** named[804]: client 212.187.170.2#47518: query (cache) denied Aug 17 09:51:45 *** named[804]: client 212.162.1.194#57916: query (cache) denied Aug 17 10:01:46 *** named[804]: client 208.185.54.14#30832: query (cache) denied Lenke til kommentar
Legion Skrevet 17. august 2004 Del Skrevet 17. august 2004 rapporter til din egen og angripers isp. inkluder loggen. bytt ip også. dersom du gidder kan du også ringe din isp og "klage." Lenke til kommentar
ProXymus Skrevet 17. august 2004 Forfatter Del Skrevet 17. august 2004 (endret) Vil helst prøve å "forsvare" meg hvis du kjønner hva jeg mener. Vil ikke "flykte" desuten har jeg fast ip. Endret 17. august 2004 av ProXymus Lenke til kommentar
huf Skrevet 17. august 2004 Del Skrevet 17. august 2004 (endret) Er det "212.187.170.2" som prøver å komme inn på deg? Eller er det du? Isåfall så sitter denne personen i eller rundt London. http://www.showmyip.com/?ip=212.187.170.2 Endret 17. august 2004 av huf Lenke til kommentar
bkak Skrevet 17. august 2004 Del Skrevet 17. august 2004 Lag et nytt passord som burde være umulig å gjette, så er du trygg. Sørg for at all programvare er oppdatert. Lenke til kommentar
ProXymus Skrevet 17. august 2004 Forfatter Del Skrevet 17. august 2004 (endret) Så lenge dem ikke kommer inn som root går det vel bra? EDIT: Trenger vel heller ikke nytt passord når dem ikke har kommer seg inn Endret 17. august 2004 av ProXymus Lenke til kommentar
JuZt3r Skrevet 17. august 2004 Del Skrevet 17. august 2004 Trenger vel heller ikke nytt passord når dem ikke har kommer seg inn Har du bra passord så trenger du nok ikke det. Men har du ett lett passord. F.eks bare bokstaver så bør du bytte. Lenke til kommentar
ProXymus Skrevet 17. august 2004 Forfatter Del Skrevet 17. august 2004 har like mange tall som bokstaver over 6 tegn Lenke til kommentar
laaknor Skrevet 17. august 2004 Del Skrevet 17. august 2004 har like mange tall som bokstaverover 6 tegn *gjøre seg notat i tilfelle jeg fikk lyst til å hakke litt på deg selv* Et godt passord forteller du ikke noenting om Lenke til kommentar
Terrasque Skrevet 17. august 2004 Del Skrevet 17. august 2004 Det enkleste hadde vel verdt å disable direkte root inlogging i ssh, så man må gå igjennom en vanlig bruker for å komme til root. Lenke til kommentar
GNUfan Skrevet 17. august 2004 Del Skrevet 17. august 2004 Om du vil kjøre enda mer heavy duty kan du titte på www.grsecurity.org. Men normalt sett er ikke det nødvendig.. Lenke til kommentar
ProXymus Skrevet 17. august 2004 Forfatter Del Skrevet 17. august 2004 har like mange tall som bokstaverover 6 tegn *gjøre seg notat i tilfelle jeg fikk lyst til å hakke litt på deg selv* Et godt passord forteller du ikke noenting om derfor sa jeg bare over 6 tegn.. kan godt være 100 tegn ut ifra hva jeg sa Lenke til kommentar
JuZt3r Skrevet 17. august 2004 Del Skrevet 17. august 2004 Så setter du brukerbegrensninger på 'su' Lenke til kommentar
laaknor Skrevet 17. august 2004 Del Skrevet 17. august 2004 Så setter du brukerbegrensninger på 'su' chmod 700 /bin/su Bruk sudo su - om du trenger å bli root. sudo sender mail til root om noen prøver å kjøre sudo og oppgir feil passord eller ikke har tilgang til applikasjonen.... Lenke til kommentar
Ancistrus84 Skrevet 18. august 2004 Del Skrevet 18. august 2004 (endret) Har merket at i de siste ukene, har flere prøvd brukernavn og testet passord mot min egen server, fleste ip'er stammer fra rundt i Asia... Det er også bestemte "brukernavn" som prøves, som "guest" "test" "admin" og "root", kun root eksisterer på systemet, og jeg har sperret for at root kan i det hele tatt logge inn via SSH, anbefaler deg og gjøre det og. eks. Aug 18 11:36:53 dassrull sshd[7242]: Illegal user test from ::ffff:203.186.157.37 Aug 18 11:36:53 dassrull sshd[7242]: Failed password for illegal user test from ::ffff:203.186.157.37 port 41468 ssh2 Aug 18 11:36:56 dassrull sshd[12337]: Illegal user guest from ::ffff:203.186.157.37 Aug 18 11:36:56 dassrull sshd[12337]: Failed password for illegal user guest from ::ffff:203.186.157.37 port 41506 ssh2 Aug 18 11:37:00 dassrull sshd[16620]: Illegal user admin from ::ffff:203.186.157.37 Aug 18 11:37:00 dassrull sshd[16620]: Failed password for illegal user admin from ::ffff:203.186.157.37 port 41538 ssh2 Aug 18 11:37:04 dassrull sshd[25514]: Illegal user admin from ::ffff:203.186.157.37 Aug 18 11:37:04 dassrull sshd[25514]: Failed password for illegal user admin from ::ffff:203.186.157.37 port 41586 ssh2 Aug 18 11:37:07 dassrull sshd[24658]: Illegal user user from ::ffff:203.186.157.37 Aug 18 11:37:07 dassrull sshd[24658]: Failed password for illegal user user from ::ffff:203.186.157.37 port 41643 ssh2 Aug 18 11:37:10 dassrull sshd[8755]: Failed password for root from ::ffff:203.186.157.37 port 41684 ssh2 Aug 18 11:37:16 dassrull sshd[6651]: Failed password for root from ::ffff:203.186.157.37 port 41724 ssh2 Aug 18 11:37:20 dassrull sshd[3021]: Failed password for root from ::ffff:203.186.157.37 port 41770 ssh2 Aug 18 11:37:25 dassrull sshd[8109]: Illegal user test from ::ffff:203.186.157.37 Aug 18 11:37:25 dassrull sshd[8109]: Failed password for illegal user test from ::ffff:203.186.157.37 port 41787 ssh2 Jeg bryr meg ikke så veldig mye om det, siden jeg mener systemet mitt skal være sikkert "bank i bordet" ... Du kan sperre for ip'n visst den samme gjentar seg om og om igjen... : route add -host 123.123.123.123 reject Endret 18. august 2004 av neonX Lenke til kommentar
Mr.Elendig Skrevet 18. august 2004 Del Skrevet 18. august 2004 Vis du veit kva ip'er du kjem til å bruke til å kobe deg til med, så kan du opne for den og sperre alle andre. Lenke til kommentar
kyrsjo Skrevet 18. august 2004 Del Skrevet 18. august 2004 har like mange tall som bokstaverover 6 tegn *gjøre seg notat i tilfelle jeg fikk lyst til å hakke litt på deg selv* Et godt passord forteller du ikke noenting om derfor sa jeg bare over 6 tegn.. kan godt være 100 tegn ut ifra hva jeg sa Nåja. Så har jo en del passord-krypterings-måter det med å sette en max-grense for passordlengde... Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå