/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
SSH attemped attacks ?
Fra : Jesper Hansen


Dato : 17-10-04 11:20

I en af mine logs som Fedora giver skriver den følgende:

--------------------- pam_unix Begin ------------------------

sshd:
Authentication Failures:
root (server1932015484.serverpool.info): 54 Time(s)
adm (server1932015484.serverpool.info): 2 Time(s)
apache (server1932015484.serverpool.info): 1 Time(s)
nobody (server1932015484.serverpool.info): 1 Time(s)
operator (server1932015484.serverpool.info): 1 Time(s)
Invalid Users:
Unknown Account: 24 Time(s)
Unknown Entries:
authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser=
rhost=server1932015484.serverpool.info : 24 Time(s)


---------------------- pam_unix End -------------------------

--------------------- SSHD Begin ------------------------


SSHD Killed: 1 Time(s)

SSHD Started: 1 Time(s)

Failed to bind:
0.0.0.0 port 22 (Address already in use) : 1 Time(s)

Failed logins from these:
account/password from ::ffff:67.19.240.114: 1 Time(s)
adam/password from ::ffff:67.19.240.114: 1 Time(s)
adm/password from ::ffff:67.19.240.114: 2 Time(s)
admin/password from ::ffff:211.201.169.68: 2 Time(s)
admin/password from ::ffff:212.78.150.64: 2 Time(s)
alan/password from ::ffff:67.19.240.114: 1 Time(s)
apache/password from ::ffff:67.19.240.114: 1 Time(s)
backup/password from ::ffff:67.19.240.114: 1 Time(s)
cip51/password from ::ffff:67.19.240.114: 1 Time(s)
cip52/password from ::ffff:67.19.240.114: 1 Time(s)
cosmin/password from ::ffff:67.19.240.114: 1 Time(s)
cyrus/password from ::ffff:67.19.240.114: 1 Time(s)
data/password from ::ffff:67.19.240.114: 1 Time(s)
frank/password from ::ffff:67.19.240.114: 1 Time(s)
george/password from ::ffff:67.19.240.114: 1 Time(s)
guest/password from ::ffff:211.201.169.68: 1 Time(s)
guest/password from ::ffff:212.78.150.64: 1 Time(s)
henry/password from ::ffff:67.19.240.114: 1 Time(s)
horde/password from ::ffff:67.19.240.114: 1 Time(s)
iceuser/password from ::ffff:67.19.240.114: 1 Time(s)
irc/password from ::ffff:67.19.240.114: 2 Time(s)
jane/password from ::ffff:67.19.240.114: 1 Time(s)
john/password from ::ffff:67.19.240.114: 1 Time(s)
master/password from ::ffff:67.19.240.114: 1 Time(s)
matt/password from ::ffff:67.19.240.114: 1 Time(s)
mysql/password from ::ffff:67.19.240.114: 1 Time(s)
nobody/password from ::ffff:67.19.240.114: 1 Time(s)
noc/password from ::ffff:67.19.240.114: 1 Time(s)
operator/password from ::ffff:67.19.240.114: 1 Time(s)
oracle/password from ::ffff:67.19.240.114: 1 Time(s)
pamela/password from ::ffff:67.19.240.114: 1 Time(s)
patrick/password from ::ffff:67.19.240.114: 2 Time(s)
rolo/password from ::ffff:67.19.240.114: 1 Time(s)
root/password from ::ffff:211.201.169.68: 3 Time(s)
root/password from ::ffff:212.78.150.64: 3 Time(s)
root/password from ::ffff:67.19.240.114: 59 Time(s)
server/password from ::ffff:67.19.240.114: 1 Time(s)
sybase/password from ::ffff:67.19.240.114: 1 Time(s)
test/password from ::ffff:211.201.169.68: 2 Time(s)
test/password from ::ffff:212.78.150.64: 2 Time(s)
test/password from ::ffff:67.19.240.114: 5 Time(s)
user/password from ::ffff:211.201.169.68: 1 Time(s)
user/password from ::ffff:212.78.150.64: 1 Time(s)
user/password from ::ffff:67.19.240.114: 3 Time(s)
web/password from ::ffff:67.19.240.114: 2 Time(s)
webmaster/password from ::ffff:67.19.240.114: 1 Time(s)
www-data/password from ::ffff:67.19.240.114: 1 Time(s)
www/password from ::ffff:67.19.240.114: 1 Time(s)
wwwrun/password from ::ffff:67.19.240.114: 1 Time(s)

Illegal users from these:
account/none from ::ffff:67.19.240.114: 1 Time(s)
account/password from ::ffff:67.19.240.114: 1 Time(s)
adam/none from ::ffff:67.19.240.114: 1 Time(s)
adam/password from ::ffff:67.19.240.114: 1 Time(s)
admin/none from ::ffff:211.201.169.68: 2 Time(s)
admin/none from ::ffff:212.78.150.64: 2 Time(s)
admin/password from ::ffff:211.201.169.68: 2 Time(s)
admin/password from ::ffff:212.78.150.64: 2 Time(s)
alan/none from ::ffff:67.19.240.114: 1 Time(s)
alan/password from ::ffff:67.19.240.114: 1 Time(s)
backup/none from ::ffff:67.19.240.114: 1 Time(s)
backup/password from ::ffff:67.19.240.114: 1 Time(s)
cip51/none from ::ffff:67.19.240.114: 1 Time(s)
cip51/password from ::ffff:67.19.240.114: 1 Time(s)
cip52/none from ::ffff:67.19.240.114: 1 Time(s)
cip52/password from ::ffff:67.19.240.114: 1 Time(s)
cosmin/none from ::ffff:67.19.240.114: 1 Time(s)
cosmin/password from ::ffff:67.19.240.114: 1 Time(s)
cyrus/none from ::ffff:67.19.240.114: 1 Time(s)
cyrus/password from ::ffff:67.19.240.114: 1 Time(s)
data/none from ::ffff:67.19.240.114: 1 Time(s)
data/password from ::ffff:67.19.240.114: 1 Time(s)
frank/none from ::ffff:67.19.240.114: 1 Time(s)
frank/password from ::ffff:67.19.240.114: 1 Time(s)
george/none from ::ffff:67.19.240.114: 1 Time(s)
george/password from ::ffff:67.19.240.114: 1 Time(s)
guest/none from ::ffff:211.201.169.68: 1 Time(s)
guest/none from ::ffff:212.78.150.64: 1 Time(s)
guest/password from ::ffff:211.201.169.68: 1 Time(s)
guest/password from ::ffff:212.78.150.64: 1 Time(s)
henry/none from ::ffff:67.19.240.114: 1 Time(s)
henry/password from ::ffff:67.19.240.114: 1 Time(s)
horde/none from ::ffff:67.19.240.114: 1 Time(s)
horde/password from ::ffff:67.19.240.114: 1 Time(s)
iceuser/none from ::ffff:67.19.240.114: 1 Time(s)
iceuser/password from ::ffff:67.19.240.114: 1 Time(s)
irc/none from ::ffff:67.19.240.114: 2 Time(s)
irc/password from ::ffff:67.19.240.114: 2 Time(s)
jane/none from ::ffff:67.19.240.114: 1 Time(s)
jane/password from ::ffff:67.19.240.114: 1 Time(s)
john/none from ::ffff:67.19.240.114: 1 Time(s)
john/password from ::ffff:67.19.240.114: 1 Time(s)
master/none from ::ffff:67.19.240.114: 1 Time(s)
master/password from ::ffff:67.19.240.114: 1 Time(s)
matt/none from ::ffff:67.19.240.114: 1 Time(s)
matt/password from ::ffff:67.19.240.114: 1 Time(s)
mysql/none from ::ffff:67.19.240.114: 1 Time(s)
mysql/password from ::ffff:67.19.240.114: 1 Time(s)
noc/none from ::ffff:67.19.240.114: 1 Time(s)
noc/password from ::ffff:67.19.240.114: 1 Time(s)
oracle/none from ::ffff:67.19.240.114: 1 Time(s)
oracle/password from ::ffff:67.19.240.114: 1 Time(s)
pamela/none from ::ffff:67.19.240.114: 1 Time(s)
pamela/password from ::ffff:67.19.240.114: 1 Time(s)
patrick/none from ::ffff:67.19.240.114: 2 Time(s)
patrick/password from ::ffff:67.19.240.114: 2 Time(s)
rolo/none from ::ffff:67.19.240.114: 1 Time(s)
rolo/password from ::ffff:67.19.240.114: 1 Time(s)
server/none from ::ffff:67.19.240.114: 1 Time(s)
server/password from ::ffff:67.19.240.114: 1 Time(s)
sybase/none from ::ffff:67.19.240.114: 1 Time(s)
sybase/password from ::ffff:67.19.240.114: 1 Time(s)
test/none from ::ffff:211.201.169.68: 2 Time(s)
test/none from ::ffff:212.78.150.64: 2 Time(s)
test/none from ::ffff:67.19.240.114: 5 Time(s)
test/password from ::ffff:211.201.169.68: 2 Time(s)
test/password from ::ffff:212.78.150.64: 2 Time(s)
test/password from ::ffff:67.19.240.114: 5 Time(s)
user/none from ::ffff:211.201.169.68: 1 Time(s)
user/none from ::ffff:212.78.150.64: 1 Time(s)
user/none from ::ffff:67.19.240.114: 3 Time(s)
user/password from ::ffff:211.201.169.68: 1 Time(s)
user/password from ::ffff:212.78.150.64: 1 Time(s)
user/password from ::ffff:67.19.240.114: 3 Time(s)
web/none from ::ffff:67.19.240.114: 2 Time(s)
web/password from ::ffff:67.19.240.114: 2 Time(s)
webmaster/none from ::ffff:67.19.240.114: 1 Time(s)
webmaster/password from ::ffff:67.19.240.114: 1 Time(s)
www-data/none from ::ffff:67.19.240.114: 1 Time(s)
www-data/password from ::ffff:67.19.240.114: 1 Time(s)
www/none from ::ffff:67.19.240.114: 1 Time(s)
www/password from ::ffff:67.19.240.114: 1 Time(s)
wwwrun/none from ::ffff:67.19.240.114: 1 Time(s)
wwwrun/password from ::ffff:67.19.240.114: 1 Time(s)

Users logging in through sshd:
root:
10.0.0.2: 2 times

---------------------- SSHD End -------------------------

Noget man umidbart skal være bange for ?
(skal siges at ingen af de kontoer som test, rolo, pamela er eksiterende)

 
 
Christian Iversen (17-10-2004)
Kommentar
Fra : Christian Iversen


Dato : 17-10-04 11:46

Jesper Hansen wrote:

> I en af mine logs som Fedora giver skriver den følgende:
>
> [log]
>
> Noget man umidbart skal være bange for ?

Måske skulle du slå root-login over ssh fra?

Lav evt. en gruppe, sshusers, og tillad kun brugere fra denne gruppe at
logge ind. Ingen grund til at give adgang til brugere der aldrig skal
benytte ssh.

> (skal siges at ingen af de kontoer som test, rolo, pamela er eksiterende)

Det ligner meget de par automatiske scanninger jeg har været ude for de
sidste par uger. Jeg ved ikke hvorfor de pludselig er populære. Der må være
et nyt k1dd13-tool ude.

--
M.V.H
Christian Iversen

Martin Damberg (17-10-2004)
Kommentar
Fra : Martin Damberg


Dato : 17-10-04 14:08

"Jesper Hansen" <dsl125723@vip.cybercity.dk> skrev i en meddelelse
news:ckth1d$21cn$1@news.cybercity.dk...
> I en af mine logs som Fedora giver skriver den følgende:
>
> --------------------- pam_unix Begin ------------------------
>
> sshd:
> Authentication Failures:
> root (server1932015484.serverpool.info): 54 Time(s)
> adm (server1932015484.serverpool.info): 2 Time(s)
> apache (server1932015484.serverpool.info): 1 Time(s)
> nobody (server1932015484.serverpool.info): 1 Time(s)
> operator (server1932015484.serverpool.info): 1 Time(s)
> Invalid Users:
> Unknown Account: 24 Time(s)
> Unknown Entries:
> authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser=
> rhost=server1932015484.serverpool.info : 24 Time(s)
>
>
> ---------------------- pam_unix End -------------------------
>
> --------------------- SSHD Begin ------------------------
>
"langt klip"
>
> Noget man umidbart skal være bange for ?
> (skal siges at ingen af de kontoer som test, rolo, pamela er eksiterende)

Måske det ville være en ide at smide noget Iptables fw på din box,
hvis du altså kun SSHer til din box fra et/nogle bestemte IPadresser af.

$IPTABLES -A INPUT -p tcp --dport 22 -s <IP> -j ACCEPT #

mvh

Martin Damberg



Henrik (18-10-2004)
Kommentar
Fra : Henrik


Dato : 18-10-04 08:58

Den Sun, 17 Oct 2004 12:20:29 +0200. skrev Jesper Hansen:

> I en af mine logs som Fedora giver skriver den følgende:
>
> --------------------- pam_unix Begin ------------------------
>
> sshd:
> Authentication Failures:
> root (server1932015484.serverpool.info): 54 Time(s)
> adm (server1932015484.serverpool.info): 2 Time(s)
> apache (server1932015484.serverpool.info): 1 Time(s)

Hej Jesper!

Der har gennem den seneste tid verseret noget script-kiddy værktøj på
nettet, som scanner efter port 22 for hvis den finder en åben port at
afprøve nogle "default" username/password kombinationer.

Hvis du vil undgå disse "angreb" kan du, som tidligere nævnt, lave nogle
iptable/ipchain regler for hvem der må kontakte din ssh server, eller
flytte ssh serveren til en anden port.

Du kan iøvrigt overveje at anmelde disse angreb til cert.dk, hvis det har
stået på igennem længere tid. Jeg tror ikke du skal være bange for at
det er noget seriøst eller optakt til noget mere alvorligt, da det
(somregl) kun er kiddies der bruger disse værktøjer!

MVH

Henrik

Max Andersen (18-10-2004)
Kommentar
Fra : Max Andersen


Dato : 18-10-04 09:04

Henrik wrote:
> Den Sun, 17 Oct 2004 12:20:29 +0200. skrev Jesper Hansen:
----snip
> Du kan iøvrigt overveje at anmelde disse angreb til cert.dk, hvis det har
> stået på igennem længere tid. Jeg tror ikke du skal være bange for at
> det er noget seriøst eller optakt til noget mere alvorligt, da det
> (somregl) kun er kiddies der bruger disse værktøjer!
>

https://www.cert.dk/anmeldelsesblanket/

Max

Martin Agersted Jarl (18-10-2004)
Kommentar
Fra : Martin Agersted Jarl


Dato : 18-10-04 09:51

Henrik wrote:
[snip

> Hej Jesper!
>
> Der har gennem den seneste tid verseret noget script-kiddy værktøj på
> nettet, som scanner efter port 22 for hvis den finder en åben port at
> afprøve nogle "default" username/password kombinationer.
>
> Hvis du vil undgå disse "angreb" kan du, som tidligere nævnt, lave nogle
> iptable/ipchain regler for hvem der må kontakte din ssh server, eller
> flytte ssh serveren til en anden port.
>
> Du kan iøvrigt overveje at anmelde disse angreb til cert.dk, hvis det har
> stået på igennem længere tid. Jeg tror ikke du skal være bange for at
> det er noget seriøst eller optakt til noget mere alvorligt, da det
> (somregl) kun er kiddies der bruger disse værktøjer!
>
> MVH
>
> Henrik

Er jeg den eneste der har bemærket at disse halvhjertede angreb kommer
fra Linux-maskiner?

--Martin

Henrik (18-10-2004)
Kommentar
Fra : Henrik


Dato : 18-10-04 10:07

Den Mon, 18 Oct 2004 10:51:26 +0200. skrev Martin Agersted Jarl:


> Er jeg den eneste der har bemærket at disse halvhjertede angreb kommer
> fra Linux-maskiner?

Det er nok fordi de flest script er lavet til linux ;)

MVH

Henrik

Martin Agersted Jarl (18-10-2004)
Kommentar
Fra : Martin Agersted Jarl


Dato : 18-10-04 12:47

Henrik wrote:
> Den Mon, 18 Oct 2004 10:51:26 +0200. skrev Martin Agersted Jarl:
>
>
>
>>Er jeg den eneste der har bemærket at disse halvhjertede angreb kommer
>>fra Linux-maskiner?
>
>
> Det er nok fordi de flest script er lavet til linux ;)
>

Ja, ja, smart svar .

Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
ikke "bash-scripts" under DOS?

Selvom plejer er død, så plejer systematisk angreb af denne type vel at
være fra inficerede Windows-maskiner. Det har jo været en spekulation
som er blevet ytret før i denne NG.

--Martin

Kristian Thy (18-10-2004)
Kommentar
Fra : Kristian Thy


Dato : 18-10-04 12:58

Martin Agersted Jarl uttered:
> Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
> ikke "bash-scripts" under DOS?

batch-scripts.

--
-- [ kristian ] --------------------------------------------------------
--------------- [if( you->toppost() ) { killfilter->append( you ); }] --
--

Max Andersen (18-10-2004)
Kommentar
Fra : Max Andersen


Dato : 18-10-04 13:53

Martin Agersted Jarl wrote:
> Henrik wrote:

>> Det er nok fordi de flest script er lavet til linux ;)
>>
>
> Ja, ja, smart svar .
>
> Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
> ikke "bash-scripts" under DOS?
>

batch?

> Selvom plejer er død, så plejer systematisk angreb af denne type vel at
> være fra inficerede Windows-maskiner. Det har jo været en spekulation
> som er blevet ytret før i denne NG.
>

Selvom man får inficeret en ikke sikkerhedsopdateret windowsmaskine på
under 5 minutter, hvis den er tilkoblet internettet uden firewall, så
kan der vel også eksistere nogle code-red lignende værktøjer til gamle
versioner af openssh? openssh har jo en historie som ikke just er lig
qmail's.....

Om de kommer fra en inficeret windows eller linux maskine er vel ren
spekulation? Der findes jo det der hedder nat.

Max

Martin Agersted Jarl (18-10-2004)
Kommentar
Fra : Martin Agersted Jarl


Dato : 18-10-04 14:17

Max Andersen wrote:
> Martin Agersted Jarl wrote:
>
>> Henrik wrote:
>
>
>>> Det er nok fordi de flest script er lavet til linux ;)
>>>
>>
>> Ja, ja, smart svar .
>>
>> Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
>> ikke "bash-scripts" under DOS?
>>
>
> batch?

Ja, rigtigt. Nu husker jeg det . Især "dir.bas" med indholdet "echo y
| format c:".

>
>> Selvom plejer er død, så plejer systematisk angreb af denne type vel
>> at være fra inficerede Windows-maskiner. Det har jo været en
>> spekulation som er blevet ytret før i denne NG.
>>
>
> Selvom man får inficeret en ikke sikkerhedsopdateret windowsmaskine på
> under 5 minutter, hvis den er tilkoblet internettet uden firewall, så
> kan der vel også eksistere nogle code-red lignende værktøjer til gamle
> versioner af openssh? openssh har jo en historie som ikke just er lig
> qmail's.....
>
> Om de kommer fra en inficeret windows eller linux maskine er vel ren
> spekulation? Der findes jo det der hedder nat.
>
> Max

Tja, man ved det jo ikke. Men når man laver en nmap på den (hvis man nu
valgte at gøre det), og den kører en række typiske *NIX services (blandt
andet X11), er der jo en overvejende sandsynlighed for at der er tale om
en *NIX-boks. Men kun en sandsynlighed.


--Martin

Christian Iversen (18-10-2004)
Kommentar
Fra : Christian Iversen


Dato : 18-10-04 14:39

Martin Agersted Jarl wrote:

> Max Andersen wrote:
>> Martin Agersted Jarl wrote:
>>
>>> Henrik wrote:
>>
>>
>>>> Det er nok fordi de flest script er lavet til linux ;)
>>>>
>>>
>>> Ja, ja, smart svar .
>>>
>>> Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
>>> ikke "bash-scripts" under DOS?
>>>
>>
>> batch?
>
> Ja, rigtigt. Nu husker jeg det . Især "dir.bas" med indholdet "echo y
> | format c:".

Nææ, du. ".bas" er Basic. ".bat" er bat(ch) filer.

--
M.V.H
Christian Iversen

Martin Agersted Jarl (18-10-2004)
Kommentar
Fra : Martin Agersted Jarl


Dato : 18-10-04 15:44

Christian Iversen wrote:
> Martin Agersted Jarl wrote:
>
>
>>Max Andersen wrote:
>>
>>>Martin Agersted Jarl wrote:
>>>
>>>
>>>>Henrik wrote:
>>>
>>>
>>>>>Det er nok fordi de flest script er lavet til linux ;)
>>>>>
>>>>
>>>>Ja, ja, smart svar .
>>>>
>>>>Selvom man kan lave scripts under Windows/DOS også. Hed det i øvrigt
>>>>ikke "bash-scripts" under DOS?
>>>>
>>>
>>>batch?
>>
>>Ja, rigtigt. Nu husker jeg det . Især "dir.bas" med indholdet "echo y
>>| format c:".
>
>
> Nææ, du. ".bas" er Basic. ".bat" er bat(ch) filer.
>

Hold mund hvor har jeg aflært dos. Det er jo frygteligt!

--Martin

Kent Friis (18-10-2004)
Kommentar
Fra : Kent Friis


Dato : 18-10-04 16:50

Den Mon, 18 Oct 2004 16:43:42 +0200 skrev Martin Agersted Jarl:
>
> Hold mund hvor har jeg aflært dos. Det er jo frygteligt!

Bare det var mig... Men nej, med XP på arbejdet kommer man stadig
ikke helt uden om dem.

(ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo nærmest
volapyk).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Kim Emax (18-10-2004)
Kommentar
Fra : Kim Emax


Dato : 18-10-04 20:00

Kent Friis wrote:

> (ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo
> nærmest volapyk).

Volapyk Batch Script?

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk



Kent Friis (18-10-2004)
Kommentar
Fra : Kent Friis


Dato : 18-10-04 20:41

Den Mon, 18 Oct 2004 21:00:20 +0200 skrev Kim Emax:
> Kent Friis wrote:
>
>> (ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo
>> nærmest volapyk).
>
> Volapyk Batch Script?

Nej, Visual Basic script.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

Max Andersen (19-10-2004)
Kommentar
Fra : Max Andersen


Dato : 19-10-04 07:14

Kim Emax wrote:
> Kent Friis wrote:
>
>
>>(ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo
>>nærmest volapyk).
>
>
> Volapyk Batch Script?
>

lol :)

Max

Martin Agersted Jarl (18-10-2004)
Kommentar
Fra : Martin Agersted Jarl


Dato : 18-10-04 20:37

Kent Friis wrote:
> Den Mon, 18 Oct 2004 16:43:42 +0200 skrev Martin Agersted Jarl:
>
>>Hold mund hvor har jeg aflært dos. Det er jo frygteligt!
>
>
> Bare det var mig... Men nej, med XP på arbejdet kommer man stadig
> ikke helt uden om dem.
>
> (ok, man kunne teoretisk bruge .vbs i stedet for, men det er jo nærmest
> volapyk).
>
> Mvh
> Kent

jeg har medlidenhed med dig.

--Martin

Jesper Hansen (19-10-2004)
Kommentar
Fra : Jesper Hansen


Dato : 19-10-04 13:00

Martin Agersted Jarl wrote:
> Henrik wrote:
> [snip
>
>> Hej Jesper!
>>
>> Der har gennem den seneste tid verseret noget script-kiddy værktøj på
>> nettet, som scanner efter port 22 for hvis den finder en åben port at
>> afprøve nogle "default" username/password kombinationer.
>>
>> Hvis du vil undgå disse "angreb" kan du, som tidligere nævnt, lave nogle
>> iptable/ipchain regler for hvem der må kontakte din ssh server, eller
>> flytte ssh serveren til en anden port.
>>
>> Du kan iøvrigt overveje at anmelde disse angreb til cert.dk, hvis det har
>> stået på igennem længere tid. Jeg tror ikke du skal være bange for at
>> det er noget seriøst eller optakt til noget mere alvorligt, da det
>> (somregl) kun er kiddies der bruger disse værktøjer!
>>
>> MVH
>>
>> Henrik
>
>
> Er jeg den eneste der har bemærket at disse halvhjertede angreb kommer
> fra Linux-maskiner?
>
> --Martin

Måske skulle man prøve lidt whois

OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US

ReferralServer: rwhois://rwhois.theplanet.com:4321

NetRange: 67.18.0.0 - 67.19.255.255
CIDR: 67.18.0.0/15
NetName: NETBLK-THEPLANET-BLK-11
NetHandle: NET-67-18-0-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.THEPLANET.COM
NameServer: NS2.THEPLANET.COM
Comment:
RegDate: 2004-03-15
Updated: 2004-07-29

TechHandle: PP46-ARIN
TechName: Pathos, Peter
TechPhone: +1-214-782-7800
*TechEmail: abuse@theplanet.com*

OrgAbuseHandle: ABUSE271-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-782-7802
*OrgAbuseEmail: abuse@theplanet.com*

OrgNOCHandle: TECHN33-ARIN
OrgNOCName: Technical Support
OrgNOCPhone: +1-214-782-7800
OrgNOCEmail: admins@theplanet.com

OrgTechHandle: TECHN33-ARIN
OrgTechName: Technical Support
OrgTechPhone: +1-214-782-7800
OrgTechEmail: admins@theplanet.com

# ARIN WHOIS database, last updated 2004-10-18 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.


Found a referral to rwhois.theplanet.com:4321.

Måske skulle man skrive en mail til *abuse@theplanet.com* :)

Thomas Overgaard (18-10-2004)
Kommentar
Fra : Thomas Overgaard


Dato : 18-10-04 22:24


Kent Friis wrote :

> Bare det var mig... Men nej, med XP på arbejdet kommer man stadig
> ikke helt uden om dem.

Mine kollegaer henter stadigvæk ham der DOS-nørden når de har fået lavet
en "underlig" fil de ikke kan slette igen :)
--
Thomas O.

This area is designed to become quite warm during normal operation.

Jesper Hansen (19-10-2004)
Kommentar
Fra : Jesper Hansen


Dato : 19-10-04 12:58

Jeg fik lige en ny adresse som dog prøvede mere specifikt med en konto.
IP: 222.45.45.132

og informationerne er ikke overraskende.


% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 222.32.0.0 - 222.63.255.255
netname: CRTC
descr: CHINA RAILWAY TELECOMMUNICATIONS CENTER
descr: 22F Yuetan Mansion,Xicheng District,Beijing,P.R.China
country: CN
admin-c: LQ112-AP
tech-c: LM273-AP
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20030902
mnt-by: MAINT-CNNIC-AP
mnt-lower: MAINT-CN-CRTC
mnt-routes: MAINT-CN-CRTC
source: APNIC

route: 222.32.0.0/11
descr: CHINA RAILWAY TELECOMMUNICATIONS
country: CN
origin: AS9394
mnt-by: MAINT-CN-CRTC
changed: wangpei@crc.net.cn 20040402
source: APNIC

person: LV QIANG
nic-hdl: LQ112-AP
e-mail: crnet_mgr@crc.net.cn
address: 22F Yuetan Mansion,Xicheng District,Beijing,P.R.China
phone: +86-10-51890499
fax-no: +86-10-51890674
country: CN
changed: ipas@cnnic.net.cn 20030729
mnt-by: MAINT-CNNIC-AP
source: APNIC

person: liu min
nic-hdl: LM273-AP
e-mail: crnet_tec@crc.net.cn
address: 22F Yuetan Mansion,Xicheng District,Beijing,P.R.China
phone: +86-10-51848796
fax-no: +86-10-51842426
country: CN
changed: ipas@cnnic.net.cn 20030729
mnt-by: MAINT-CNNIC-AP
source: APNIC

Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408943
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste