Gjest Slettet+432 Skrevet 5. april 2005 Del Skrevet 5. april 2005 Hei. Ser det er en del forsøk på å logge inn på serveren min via ssh med brukernavnene root og test. Skrev whois ipadresse, men kom ikke noe lenger med det. Hvordan kan jeg finne ut detaljert informasjon om denne ip-adressen? Tenker i tilfelle det skjer noe... Lenke til kommentar
kyrsjo Skrevet 5. april 2005 Del Skrevet 5. april 2005 dig -x hender at viser noe av interesse. Så kan du eventuellt bruke whois på domenenavnet du da får. Så er det bare å sende i vei til abuse@isp. Legg ved logger... Fikk en stakkars virus-infisert IIS-server kopla fra 3 ganger på en uke en gang. lol... Lenke til kommentar
kyrsjo Skrevet 5. april 2005 Del Skrevet 5. april 2005 forøvrig er det en god idé å nekte root-tilgang i configfila til sshd. Lenke til kommentar
Gjest Slettet+432 Skrevet 5. april 2005 Del Skrevet 5. april 2005 Ja, har nektet root tilgang. man må su'e via en vanlig bruker først. aleks:~ aleksander$ whois 12.155.199.50 AT&T WorldNet Services ATT (NET-12-0-0-0-1) 12.0.0.0 - 12.255.255.255 OSBORNE COMPUTER OSBORNE835-196 (NET-12-155-196-0-1) 12.155.196.0 - 12.155.199.255 # ARIN WHOIS database, last updated 2005-04-04 19:10 # Enter ? for additional hints on searching ARIN's WHOIS database. aleks:~ aleksander$ Skjønte ikke helt det der du sa med whois. Og det er ingen bryter som heter -x. Lenke til kommentar
olear Skrevet 5. april 2005 Del Skrevet 5. april 2005 Har selv mellom 20-100 forsøk pr. dag mot min server (dette året har det begynnt å roe seg ). Anbefaler på det sterkeste å deaktivere root konto, legge til hvem som får lov til å koble seg til av brukere og bruk en kombinasjon av passord og nøkkler. Den største trusselen er dårlige passord. Lenke til kommentar
pgdx Skrevet 5. april 2005 Del Skrevet 5. april 2005 (endret) Hvis du legger til AllowUsers brukernavn i sshd_config, vil ingen andre enn de brukerne du lister opp ha tilgang til ssh. MaxAuthTries 1 AllowUsers kari AllowUsers pia AllowUsers ola AllowUsers per-leif Endret 5. april 2005 av drange_net Lenke til kommentar
Gjest Slettet+432 Skrevet 5. april 2005 Del Skrevet 5. april 2005 Ja, har allerede deaktivert root i ssh, og satt tillate brukere. Men hvordan gjør jeg det der med nøkler? Lenke til kommentar
olear Skrevet 5. april 2005 Del Skrevet 5. april 2005 http://www.puddingonline.com/~dave/publica...Keys-HOWTO.html Lenke til kommentar
kyrsjo Skrevet 5. april 2005 Del Skrevet 5. april 2005 "dig -x *IP*" er reverse DNS lookup. Lenke til kommentar
Gjest Slettet+432 Skrevet 5. april 2005 Del Skrevet 5. april 2005 Ah... fikk opp en del mer her nå, ja... Lenke til kommentar
Gjest Slettet+432 Skrevet 5. april 2005 Del Skrevet 5. april 2005 (endret) *glem det, leste litt feil* Endret 5. april 2005 av Slettet+432 Lenke til kommentar
Gjest Slettet+432 Skrevet 5. april 2005 Del Skrevet 5. april 2005 Fikk det til, fulgte denne guiden: http://www.tlug.no/index.php/news/guide/li...k_av_ssh_n_kler Anbefales! Lenke til kommentar
objorkum Skrevet 5. april 2005 Del Skrevet 5. april 2005 Sett opp SSHD på ein annan port enn 22. Eg har ingen slike forsøk lenger... Lenke til kommentar
Langbein Skrevet 5. april 2005 Del Skrevet 5. april 2005 Sett opp SSHD på ein annan port enn 22. Eg har ingen slike forsøk lenger... Samme her. Endret portnummer på servern for over 2 år siden, og har ikke hatt ett eneste forsøk på ssh. Folk skal være passe ivrige for å gidde å portscanne alle 65536 portene. Det er tross alt ikke Pentagon dette Lenke til kommentar
olear Skrevet 5. april 2005 Del Skrevet 5. april 2005 Samme her. Endret portnummer på servern for over 2 år siden, og har ikke hatt ett eneste forsøk på ssh. Folk skal være passe ivrige for å gidde å portscanne alle 65536 portene. Det er tross alt ikke Pentagon dette Har skiftet port MANGE ganger. De kommer tilbake. Tar jo ikke så lang tid å skanne alle portene. Lenke til kommentar
kyrsjo Skrevet 6. april 2005 Del Skrevet 6. april 2005 Urk... En hacka server prøvde seg på serveren min igår (intenst - ca 1 pr. sekund! -> Oppdaget det pga. "logg-lyd" på disken). Sjekket ip'n, knappet den inn i webbrowser. *pang* webside. -> Finne "contact", sende mail. Fikk i alle fall svar fra den ene (var under dobbelt-anngrep), han var kjempeglad, var allerede i gang med å fikse det. Lenke til kommentar
objorkum Skrevet 6. april 2005 Del Skrevet 6. april 2005 Urk... En hacka server prøvde seg på serveren min igår (intenst - ca 1 pr. sekund! -> Oppdaget det pga. "logg-lyd" på disken). Sjekket ip'n, knappet den inn i webbrowser. *pang* webside. -> Finne "contact", sende mail. Fikk i alle fall svar fra den ene (var under dobbelt-anngrep), han var kjempeglad, var allerede i gang med å fikse det. Jøss, stilig Lenke til kommentar
LessThanJake Skrevet 6. april 2005 Del Skrevet 6. april 2005 Har egentlig aldri sett på loggene mine, hvilke logger er det som er aktuell å se på og hva skal man egenlig se etter. Har søkt litt, men viste ikke helt hva jeg skulle søke på. Har kun en ssh-port åpen og den jeg tillater kun innlogin fra et par ip-er og kun med et brukernavn. Så har tenkt at det går greit, men kunne være greit å sjekke! Lenke til kommentar
kyrsjo Skrevet 6. april 2005 Del Skrevet 6. april 2005 for ssh-anngrep er vel /var/log/auth.log aktuell. Ellers så har du access.log til apache. Her legger IIS-exploit-logger seg etc (tenk laaaaange remser med \00\00\00). Fikk en eller annen bedrift tuppa av nettet tre ganger på en uke på grunn av det... Lenke til kommentar
objorkum Skrevet 6. april 2005 Del Skrevet 6. april 2005 På Slackware loggar SSHd til /var/log/messages Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå