|
|
 | SSH attemped attacks ?
Fra : Jesper Hansen |
Dato : 17-10-04 11:20 |
|
I en af mine logs som Fedora giver skriver den følgende:
--------------------- pam_unix Begin ------------------------
sshd:
Authentication Failures:
root (server1932015484.serverpool.info): 54 Time(s)
adm (server1932015484.serverpool.info): 2 Time(s)
apache (server1932015484.serverpool.info): 1 Time(s)
nobody (server1932015484.serverpool.info): 1 Time(s)
operator (server1932015484.serverpool.info): 1 Time(s)
Invalid Users:
Unknown Account: 24 Time(s)
Unknown Entries:
authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser=
rhost=server1932015484.serverpool.info : 24 Time(s)
---------------------- pam_unix End -------------------------
--------------------- SSHD Begin ------------------------
SSHD Killed: 1 Time(s)
SSHD Started: 1 Time(s)
Failed to bind:
0.0.0.0 port 22 (Address already in use) : 1 Time(s)
Failed logins from these:
account/password from ::ffff:67.19.240.114: 1 Time(s)
adam/password from ::ffff:67.19.240.114: 1 Time(s)
adm/password from ::ffff:67.19.240.114: 2 Time(s)
admin/password from ::ffff:211.201.169.68: 2 Time(s)
admin/password from ::ffff:212.78.150.64: 2 Time(s)
alan/password from ::ffff:67.19.240.114: 1 Time(s)
apache/password from ::ffff:67.19.240.114: 1 Time(s)
backup/password from ::ffff:67.19.240.114: 1 Time(s)
cip51/password from ::ffff:67.19.240.114: 1 Time(s)
cip52/password from ::ffff:67.19.240.114: 1 Time(s)
cosmin/password from ::ffff:67.19.240.114: 1 Time(s)
cyrus/password from ::ffff:67.19.240.114: 1 Time(s)
data/password from ::ffff:67.19.240.114: 1 Time(s)
frank/password from ::ffff:67.19.240.114: 1 Time(s)
george/password from ::ffff:67.19.240.114: 1 Time(s)
guest/password from ::ffff:211.201.169.68: 1 Time(s)
guest/password from ::ffff:212.78.150.64: 1 Time(s)
henry/password from ::ffff:67.19.240.114: 1 Time(s)
horde/password from ::ffff:67.19.240.114: 1 Time(s)
iceuser/password from ::ffff:67.19.240.114: 1 Time(s)
irc/password from ::ffff:67.19.240.114: 2 Time(s)
jane/password from ::ffff:67.19.240.114: 1 Time(s)
john/password from ::ffff:67.19.240.114: 1 Time(s)
master/password from ::ffff:67.19.240.114: 1 Time(s)
matt/password from ::ffff:67.19.240.114: 1 Time(s)
mysql/password from ::ffff:67.19.240.114: 1 Time(s)
nobody/password from ::ffff:67.19.240.114: 1 Time(s)
noc/password from ::ffff:67.19.240.114: 1 Time(s)
operator/password from ::ffff:67.19.240.114: 1 Time(s)
oracle/password from ::ffff:67.19.240.114: 1 Time(s)
pamela/password from ::ffff:67.19.240.114: 1 Time(s)
patrick/password from ::ffff:67.19.240.114: 2 Time(s)
rolo/password from ::ffff:67.19.240.114: 1 Time(s)
root/password from ::ffff:211.201.169.68: 3 Time(s)
root/password from ::ffff:212.78.150.64: 3 Time(s)
root/password from ::ffff:67.19.240.114: 59 Time(s)
server/password from ::ffff:67.19.240.114: 1 Time(s)
sybase/password from ::ffff:67.19.240.114: 1 Time(s)
test/password from ::ffff:211.201.169.68: 2 Time(s)
test/password from ::ffff:212.78.150.64: 2 Time(s)
test/password from ::ffff:67.19.240.114: 5 Time(s)
user/password from ::ffff:211.201.169.68: 1 Time(s)
user/password from ::ffff:212.78.150.64: 1 Time(s)
user/password from ::ffff:67.19.240.114: 3 Time(s)
web/password from ::ffff:67.19.240.114: 2 Time(s)
webmaster/password from ::ffff:67.19.240.114: 1 Time(s)
www-data/password from ::ffff:67.19.240.114: 1 Time(s)
www/password from ::ffff:67.19.240.114: 1 Time(s)
wwwrun/password from ::ffff:67.19.240.114: 1 Time(s)
Illegal users from these:
account/none from ::ffff:67.19.240.114: 1 Time(s)
account/password from ::ffff:67.19.240.114: 1 Time(s)
adam/none from ::ffff:67.19.240.114: 1 Time(s)
adam/password from ::ffff:67.19.240.114: 1 Time(s)
admin/none from ::ffff:211.201.169.68: 2 Time(s)
admin/none from ::ffff:212.78.150.64: 2 Time(s)
admin/password from ::ffff:211.201.169.68: 2 Time(s)
admin/password from ::ffff:212.78.150.64: 2 Time(s)
alan/none from ::ffff:67.19.240.114: 1 Time(s)
alan/password from ::ffff:67.19.240.114: 1 Time(s)
backup/none from ::ffff:67.19.240.114: 1 Time(s)
backup/password from ::ffff:67.19.240.114: 1 Time(s)
cip51/none from ::ffff:67.19.240.114: 1 Time(s)
cip51/password from ::ffff:67.19.240.114: 1 Time(s)
cip52/none from ::ffff:67.19.240.114: 1 Time(s)
cip52/password from ::ffff:67.19.240.114: 1 Time(s)
cosmin/none from ::ffff:67.19.240.114: 1 Time(s)
cosmin/password from ::ffff:67.19.240.114: 1 Time(s)
cyrus/none from ::ffff:67.19.240.114: 1 Time(s)
cyrus/password from ::ffff:67.19.240.114: 1 Time(s)
data/none from ::ffff:67.19.240.114: 1 Time(s)
data/password from ::ffff:67.19.240.114: 1 Time(s)
frank/none from ::ffff:67.19.240.114: 1 Time(s)
frank/password from ::ffff:67.19.240.114: 1 Time(s)
george/none from ::ffff:67.19.240.114: 1 Time(s)
george/password from ::ffff:67.19.240.114: 1 Time(s)
guest/none from ::ffff:211.201.169.68: 1 Time(s)
guest/none from ::ffff:212.78.150.64: 1 Time(s)
guest/password from ::ffff:211.201.169.68: 1 Time(s)
guest/password from ::ffff:212.78.150.64: 1 Time(s)
henry/none from ::ffff:67.19.240.114: 1 Time(s)
henry/password from ::ffff:67.19.240.114: 1 Time(s)
horde/none from ::ffff:67.19.240.114: 1 Time(s)
horde/password from ::ffff:67.19.240.114: 1 Time(s)
iceuser/none from ::ffff:67.19.240.114: 1 Time(s)
iceuser/password from ::ffff:67.19.240.114: 1 Time(s)
irc/none from ::ffff:67.19.240.114: 2 Time(s)
irc/password from ::ffff:67.19.240.114: 2 Time(s)
jane/none from ::ffff:67.19.240.114: 1 Time(s)
jane/password from ::ffff:67.19.240.114: 1 Time(s)
john/none from ::ffff:67.19.240.114: 1 Time(s)
john/password from ::ffff:67.19.240.114: 1 Time(s)
master/none from ::ffff:67.19.240.114: 1 Time(s)
master/password from ::ffff:67.19.240.114: 1 Time(s)
matt/none from ::ffff:67.19.240.114: 1 Time(s)
matt/password from ::ffff:67.19.240.114: 1 Time(s)
mysql/none from ::ffff:67.19.240.114: 1 Time(s)
mysql/password from ::ffff:67.19.240.114: 1 Time(s)
noc/none from ::ffff:67.19.240.114: 1 Time(s)
noc/password from ::ffff:67.19.240.114: 1 Time(s)
oracle/none from ::ffff:67.19.240.114: 1 Time(s)
oracle/password from ::ffff:67.19.240.114: 1 Time(s)
pamela/none from ::ffff:67.19.240.114: 1 Time(s)
pamela/password from ::ffff:67.19.240.114: 1 Time(s)
patrick/none from ::ffff:67.19.240.114: 2 Time(s)
patrick/password from ::ffff:67.19.240.114: 2 Time(s)
rolo/none from ::ffff:67.19.240.114: 1 Time(s)
rolo/password from ::ffff:67.19.240.114: 1 Time(s)
server/none from ::ffff:67.19.240.114: 1 Time(s)
server/password from ::ffff:67.19.240.114: 1 Time(s)
sybase/none from ::ffff:67.19.240.114: 1 Time(s)
sybase/password from ::ffff:67.19.240.114: 1 Time(s)
test/none from ::ffff:211.201.169.68: 2 Time(s)
test/none from ::ffff:212.78.150.64: 2 Time(s)
test/none from ::ffff:67.19.240.114: 5 Time(s)
test/password from ::ffff:211.201.169.68: 2 Time(s)
test/password from ::ffff:212.78.150.64: 2 Time(s)
test/password from ::ffff:67.19.240.114: 5 Time(s)
user/none from ::ffff:211.201.169.68: 1 Time(s)
user/none from ::ffff:212.78.150.64: 1 Time(s)
user/none from ::ffff:67.19.240.114: 3 Time(s)
user/password from ::ffff:211.201.169.68: 1 Time(s)
user/password from ::ffff:212.78.150.64: 1 Time(s)
user/password from ::ffff:67.19.240.114: 3 Time(s)
web/none from ::ffff:67.19.240.114: 2 Time(s)
web/password from ::ffff:67.19.240.114: 2 Time(s)
webmaster/none from ::ffff:67.19.240.114: 1 Time(s)
webmaster/password from ::ffff:67.19.240.114: 1 Time(s)
www-data/none from ::ffff:67.19.240.114: 1 Time(s)
www-data/password from ::ffff:67.19.240.114: 1 Time(s)
www/none from ::ffff:67.19.240.114: 1 Time(s)
www/password from ::ffff:67.19.240.114: 1 Time(s)
wwwrun/none from ::ffff:67.19.240.114: 1 Time(s)
wwwrun/password from ::ffff:67.19.240.114: 1 Time(s)
Users logging in through sshd:
root:
10.0.0.2: 2 times
---------------------- SSHD End -------------------------
Noget man umidbart skal være bange for ?
(skal siges at ingen af de kontoer som test, rolo, pamela er eksiterende)
| |
 Christian Iversen (17-10-2004)
| Kommentar
Fra : Christian Iversen |
Dato : 17-10-04 11:46 |
|
Jesper Hansen wrote:
> I en af mine logs som Fedora giver skriver den følgende:
>
> [log]
>
> Noget man umidbart skal være bange for ?
Måske skulle du slå root-login over ssh fra?
Lav evt. en gruppe, sshusers, og tillad kun brugere fra denne gruppe at
logge ind. Ingen grund til at give adgang til brugere der aldrig skal
benytte ssh.
> (skal siges at ingen af de kontoer som test, rolo, pamela er eksiterende)
Det ligner meget de par automatiske scanninger jeg har været ude for de
sidste par uger. Jeg ved ikke hvorfor de pludselig er populære. Der må være
et nyt k1dd13-tool ude.
--
M.V.H
Christian Iversen
| |
Martin Damberg (17-10-2004)
| Kommentar
Fra : Martin Damberg |
Dato : 17-10-04 14:08 |
|
"Jesper Hansen" <dsl125723@vip.cybercity.dk> skrev i en meddelelse
news:ckth1d$21cn$1@news.cybercity.dk...
> I en af mine logs som Fedora giver skriver den følgende:
>
> --------------------- pam_unix Begin ------------------------
>
> sshd:
> Authentication Failures:
> root (server1932015484.serverpool.info): 54 Time(s)
> adm (server1932015484.serverpool.info): 2 Time(s)
> apache (server1932015484.serverpool.info): 1 Time(s)
> nobody (server1932015484.serverpool.info): 1 Time(s)
> operator (server1932015484.serverpool.info): 1 Time(s)
> Invalid Users:
> Unknown Account: 24 Time(s)
> Unknown Entries:
> authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser=
> rhost=server1932015484.serverpool.info : 24 Time(s)
>
>
> ---------------------- pam_unix End -------------------------
>
> --------------------- SSHD Begin ------------------------
>
"langt klip"
>
> Noget man umidbart skal være bange for ?
> (skal siges at ingen af de kontoer som test, rolo, pamela er eksiterende)
Måske det ville være en ide at smide noget Iptables fw på din box,
hvis du altså kun SSHer til din box fra et/nogle bestemte IPadresser af.
$IPTABLES -A INPUT -p tcp --dport 22 -s <IP> -j ACCEPT #
mvh
Martin Damberg
| |
Henrik (18-10-2004)
| Kommentar
Fra : Henrik |
Dato : 18-10-04 08:58 |
|
Den Sun, 17 Oct 2004 12:20:29 +0200. skrev Jesper Hansen:
> I en af mine logs som Fedora giver skriver den følgende:
>
> --------------------- pam_unix Begin ------------------------
>
> sshd:
> Authentication Failures:
> root (server1932015484.serverpool.info): 54 Time(s)
> adm (server1932015484.serverpool.info): 2 Time(s)
> apache (server1932015484.serverpool.info): 1 Time(s)
Hej Jesper!
Der har gennem den seneste tid verseret noget script-kiddy værktøj på
nettet, som scanner efter port 22 for hvis den finder en åben port at
afprøve nogle "default" username/password kombinationer.
Hvis du vil undgå disse "angreb" kan du, som tidligere nævnt, lave nogle
iptable/ipchain regler for hvem der må kontakte din ssh server, eller
flytte ssh serveren til en anden port.
Du kan iøvrigt overveje at anmelde disse angreb til cert.dk, hvis det har
stået på igennem længere tid. Jeg tror ikke du skal være bange for at
det er noget seriøst eller optakt til noget mere alvorligt, da det
(somregl) kun er kiddies der bruger disse værktøjer!
MVH
Henrik
| |
Max Andersen (18-10-2004)
| Kommentar
Fra : Max Andersen |
Dato : 18-10-04 09:04 |
|
Henrik wrote:
> Den Sun, 17 Oct 2004 12:20:29 +0200. skrev Jesper Hansen:
----snip
> Du kan iøvrigt overveje at anmelde disse angreb til cert.dk, hvis det har
> stået på igennem længere tid. Jeg tror ikke du skal være bange for at
> det er noget seriøst eller optakt til noget mere alvorligt, da det
> (somregl) kun er kiddies der bruger disse værktøjer!
>
https://www.cert.dk/anmeldelsesblanket/
Max
| |
Martin Agersted Jarl (18-10-2004)
| Kommentar
Fra : Martin Agersted Jarl |
Dato : 18-10-04 09:51 |
|
Henrik wrote:
[snip
> Hej Jesper!
>
> Der har gennem den seneste tid verseret noget script-kiddy værktøj på
> nettet, som scanner efter port 22 for hvis den finder en åben port at
> afprøve nogle "default" username/password kombinationer.
>
> Hvis du vil undgå disse "angreb" kan du, som tidligere nævnt, lave nogle
> iptable/ipchain regler for hvem der må kontakte din ssh server, eller
> flytte ssh serveren til en anden port.
>
> Du kan iøvrigt overveje at anmelde disse angreb til cert.dk, hvis det har
> stået på igennem længere tid. Jeg tror ikke du skal være bange for at
> det er noget seriøst eller optakt til noget mere alvorligt, da det
> (somregl) kun er kiddies der bruger disse værktøjer!
>
> MVH
>
> Henrik
Er jeg den eneste der har bemærket at disse halvhjertede angreb kommer
fra Linux-maskiner?
--Martin
| |
 Henrik (18-10-2004)
| Kommentar
Fra : Henrik |
Dato : 18-10-04 10:07 |
|
Den Mon, 18 Oct 2004 10:51:26 +0200. skrev Martin Agersted Jarl:
> Er jeg den eneste der har bemærket at disse halvhjertede angreb kommer
> fra Linux-maskiner?
Det er nok fordi de flest script er lavet til linux ;)
MVH
Henrik
| |
Martin Agersted Jarl (18-10-2004)
| Kommentar
Fra : Martin Agersted Jarl |
Dato : 18-10-04 12:47 |
|
Henrik wrote:
> Den Mon, 18 Oct 2004 10:51:26 +0200. skrev Martin Agersted Jarl:
>
>
>
>>Er jeg den eneste der har bemærket at disse halvhjertede angreb kommer
>>fra Linux-maskiner?
>
>
> Det er nok fordi de flest script er lavet til linux ;)
>
Ja, ja, smart svar  .
Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
ikke "bash-scripts" under DOS?
Selvom plejer er død, så plejer systematisk angreb af denne type vel at
være fra inficerede Windows-maskiner. Det har jo været en spekulation
som er blevet ytret før i denne NG.
--Martin
| |
Kristian Thy (18-10-2004)
| Kommentar
Fra : Kristian Thy |
Dato : 18-10-04 12:58 |
|
Martin Agersted Jarl uttered:
> Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
> ikke "bash-scripts" under DOS?
batch-scripts.
--
-- [ kristian ] --------------------------------------------------------
--------------- [if( you->toppost() ) { killfilter->append( you ); }] --
--
| |
Max Andersen (18-10-2004)
| Kommentar
Fra : Max Andersen |
Dato : 18-10-04 13:53 |
|
Martin Agersted Jarl wrote:
> Henrik wrote:
>> Det er nok fordi de flest script er lavet til linux ;)
>>
>
> Ja, ja, smart svar .
>
> Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
> ikke "bash-scripts" under DOS?
>
batch?
> Selvom plejer er død, så plejer systematisk angreb af denne type vel at
> være fra inficerede Windows-maskiner. Det har jo været en spekulation
> som er blevet ytret før i denne NG.
>
Selvom man får inficeret en ikke sikkerhedsopdateret windowsmaskine på
under 5 minutter, hvis den er tilkoblet internettet uden firewall, så
kan der vel også eksistere nogle code-red lignende værktøjer til gamle
versioner af openssh? openssh har jo en historie som ikke just er lig
qmail's.....
Om de kommer fra en inficeret windows eller linux maskine er vel ren
spekulation? Der findes jo det der hedder nat.
Max
| |
Martin Agersted Jarl (18-10-2004)
| Kommentar
Fra : Martin Agersted Jarl |
Dato : 18-10-04 14:17 |
|
Max Andersen wrote:
> Martin Agersted Jarl wrote:
>
>> Henrik wrote:
>
>
>>> Det er nok fordi de flest script er lavet til linux ;)
>>>
>>
>> Ja, ja, smart svar .
>>
>> Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
>> ikke "bash-scripts" under DOS?
>>
>
> batch?
Ja, rigtigt. Nu husker jeg det . Især "dir.bas" med indholdet "echo y
| format c:".
>
>> Selvom plejer er død, så plejer systematisk angreb af denne type vel
>> at være fra inficerede Windows-maskiner. Det har jo været en
>> spekulation som er blevet ytret før i denne NG.
>>
>
> Selvom man får inficeret en ikke sikkerhedsopdateret windowsmaskine på
> under 5 minutter, hvis den er tilkoblet internettet uden firewall, så
> kan der vel også eksistere nogle code-red lignende værktøjer til gamle
> versioner af openssh? openssh har jo en historie som ikke just er lig
> qmail's.....
>
> Om de kommer fra en inficeret windows eller linux maskine er vel ren
> spekulation? Der findes jo det der hedder nat.
>
> Max
Tja, man ved det jo ikke. Men når man laver en nmap på den (hvis man nu
valgte at gøre det), og den kører en række typiske *NIX services (blandt
andet X11), er der jo en overvejende sandsynlighed for at der er tale om
en *NIX-boks. Men kun en sandsynlighed.
--Martin
| |
Christian Iversen (18-10-2004)
| Kommentar
Fra : Christian Iversen |
Dato : 18-10-04 14:39 |
|
Martin Agersted Jarl wrote:
> Max Andersen wrote:
>> Martin Agersted Jarl wrote:
>>
>>> Henrik wrote:
>>
>>
>>>> Det er nok fordi de flest script er lavet til linux ;)
>>>>
>>>
>>> Ja, ja, smart svar .
>>>
>>> Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
>>> ikke "bash-scripts" under DOS?
>>>
>>
>> batch?
>
> Ja, rigtigt. Nu husker jeg det . Især "dir.bas" med indholdet "echo y
> | format c:".
Nææ, du. ".bas" er Basic. ".bat" er bat(ch) filer.
--
M.V.H
Christian Iversen
| |
Martin Agersted Jarl (18-10-2004)
| Kommentar
Fra : Martin Agersted Jarl |
Dato : 18-10-04 15:44 |
|
Christian Iversen wrote:
> Martin Agersted Jarl wrote:
>
>
>>Max Andersen wrote:
>>
>>>Martin Agersted Jarl wrote:
>>>
>>>
>>>>Henrik wrote:
>>>
>>>
>>>>>Det er nok fordi de flest script er lavet til linux ;)
>>>>>
>>>>
>>>>Ja, ja, smart svar .
>>>>
>>>>Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
>>>>ikke "bash-scripts" under DOS?
>>>>
>>>
>>>batch?
>>
>>Ja, rigtigt. Nu husker jeg det . Især "dir.bas" med indholdet "echo y
>>| format c:".
>
>
> Nææ, du. ".bas" er Basic. ".bat" er bat(ch) filer.
>
Hold mund hvor har jeg aflært dos. Det er jo frygteligt!
--Martin
| |
Kent Friis (18-10-2004)
| Kommentar
Fra : Kent Friis |
Dato : 18-10-04 16:50 |
|
Den Mon, 18 Oct 2004 16:43:42 +0200 skrev Martin Agersted Jarl:
>
> Hold mund hvor har jeg aflært dos. Det er jo frygteligt!
Bare det var mig... Men nej, med XP på arbejdet kommer man stadig
ikke helt uden om dem.
(ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo nærmest
volapyk).
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Kim Emax (18-10-2004)
| Kommentar
Fra : Kim Emax |
Dato : 18-10-04 20:00 |
|
Kent Friis wrote:
> (ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo
> nærmest volapyk).
Volapyk Batch Script?
--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk
| |
Kent Friis (18-10-2004)
| Kommentar
Fra : Kent Friis |
Dato : 18-10-04 20:41 |
|
Den Mon, 18 Oct 2004 21:00:20 +0200 skrev Kim Emax:
> Kent Friis wrote:
>
>> (ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo
>> nærmest volapyk).
>
> Volapyk Batch Script?
Nej, Visual Basic script.
Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/
| |
Max Andersen (19-10-2004)
| Kommentar
Fra : Max Andersen |
Dato : 19-10-04 07:14 |
|
Kim Emax wrote:
> Kent Friis wrote:
>
>
>>(ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo
>>nærmest volapyk).
>
>
> Volapyk Batch Script?
>
lol :)
Max
| |
Martin Agersted Jarl (18-10-2004)
| Kommentar
Fra : Martin Agersted Jarl |
Dato : 18-10-04 20:37 |
|
Kent Friis wrote:
> Den Mon, 18 Oct 2004 16:43:42 +0200 skrev Martin Agersted Jarl:
>
>>Hold mund hvor har jeg aflært dos. Det er jo frygteligt!
>
>
> Bare det var mig... Men nej, med XP på arbejdet kommer man stadig
> ikke helt uden om dem.
>
> (ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo nærmest
> volapyk).
>
> Mvh
> Kent
jeg har medlidenhed med dig.
--Martin
| |
Jesper Hansen (19-10-2004)
| Kommentar
Fra : Jesper Hansen |
Dato : 19-10-04 13:00 |
|
Martin Agersted Jarl wrote:
> Henrik wrote:
> [snip
>
>> Hej Jesper!
>>
>> Der har gennem den seneste tid verseret noget script-kiddy værktøj på
>> nettet, som scanner efter port 22 for hvis den finder en åben port at
>> afprøve nogle "default" username/password kombinationer.
>>
>> Hvis du vil undgå disse "angreb" kan du, som tidligere nævnt, lave nogle
>> iptable/ipchain regler for hvem der må kontakte din ssh server, eller
>> flytte ssh serveren til en anden port.
>>
>> Du kan iøvrigt overveje at anmelde disse angreb til cert.dk, hvis det har
>> stået på igennem længere tid. Jeg tror ikke du skal være bange for at
>> det er noget seriøst eller optakt til noget mere alvorligt, da det
>> (somregl) kun er kiddies der bruger disse værktøjer!
>>
>> MVH
>>
>> Henrik
>
>
> Er jeg den eneste der har bemærket at disse halvhjertede angreb kommer
> fra Linux-maskiner?
>
> --Martin
Måske skulle man prøve lidt whois
OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US
ReferralServer: rwhois://rwhois.theplanet.com:4321
NetRange: 67.18.0.0 - 67.19.255.255
CIDR: 67.18.0.0/15
NetName: NETBLK-THEPLANET-BLK-11
NetHandle: NET-67-18-0-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.THEPLANET.COM
NameServer: NS2.THEPLANET.COM
Comment:
RegDate: 2004-03-15
Updated: 2004-07-29
TechHandle: PP46-ARIN
TechName: Pathos, Peter
TechPhone: +1-214-782-7800
*TechEmail: abuse@theplanet.com*
OrgAbuseHandle: ABUSE271-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-782-7802
*OrgAbuseEmail: abuse@theplanet.com*
OrgNOCHandle: TECHN33-ARIN
OrgNOCName: Technical Support
OrgNOCPhone: +1-214-782-7800
OrgNOCEmail: admins@theplanet.com
OrgTechHandle: TECHN33-ARIN
OrgTechName: Technical Support
OrgTechPhone: +1-214-782-7800
OrgTechEmail: admins@theplanet.com
# ARIN WHOIS database, last updated 2004-10-18 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
Found a referral to rwhois.theplanet.com:4321.
Måske skulle man skrive en mail til *abuse@theplanet.com* :)
| |
Thomas Overgaard (18-10-2004)
| Kommentar
Fra : Thomas Overgaard |
Dato : 18-10-04 22:24 |
|
Kent Friis wrote :
> Bare det var mig... Men nej, med XP på arbejdet kommer man stadig
> ikke helt uden om dem.
Mine kollegaer henter stadigvæk ham der DOS-nørden når de har fået lavet
en "underlig" fil de ikke kan slette igen :)
--
Thomas O.
This area is designed to become quite warm during normal operation.
| |
Jesper Hansen (19-10-2004)
| Kommentar
Fra : Jesper Hansen |
Dato : 19-10-04 12:58 |
|
Jeg fik lige en ny adresse som dog prøvede mere specifikt med en konto.
IP: 222.45.45.132
og informationerne er ikke overraskende.
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 222.32.0.0 - 222.63.255.255
netname: CRTC
descr: CHINA RAILWAY TELECOMMUNICATIONS CENTER
descr: 22F Yuetan Mansion,Xicheng District,Beijing,P.R.China
country: CN
admin-c: LQ112-AP
tech-c: LM273-AP
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20030902
mnt-by: MAINT-CNNIC-AP
mnt-lower: MAINT-CN-CRTC
mnt-routes: MAINT-CN-CRTC
source: APNIC
route: 222.32.0.0/11
descr: CHINA RAILWAY TELECOMMUNICATIONS
country: CN
origin: AS9394
mnt-by: MAINT-CN-CRTC
changed: wangpei@crc.net.cn 20040402
source: APNIC
person: LV QIANG
nic-hdl: LQ112-AP
e-mail: crnet_mgr@crc.net.cn
address: 22F Yuetan Mansion,Xicheng District,Beijing,P.R.China
phone: +86-10-51890499
fax-no: +86-10-51890674
country: CN
changed: ipas@cnnic.net.cn 20030729
mnt-by: MAINT-CNNIC-AP
source: APNIC
person: liu min
nic-hdl: LM273-AP
e-mail: crnet_tec@crc.net.cn
address: 22F Yuetan Mansion,Xicheng District,Beijing,P.R.China
phone: +86-10-51848796
fax-no: +86-10-51842426
country: CN
changed: ipas@cnnic.net.cn 20030729
mnt-by: MAINT-CNNIC-AP
source: APNIC
| |
|
|