С нами с 07.07.14
Сообщения: 92
Рейтинг: -39
|
 Добавлено: 29/07/15 в 17:49 |
Привет ребята. Заметил в /var/log/secure
| Цитата: |
Jul 26 04:32:38 ns3291907 sshd[29618]: reverse mapping checking getaddrinfo for burikovs.example.com [82.146.45.56] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 26 04:32:38 ns3291907 sshd[29618]: Invalid user postgres from 82.146.45.56
Jul 26 04:32:38 ns3291907 sshd[29619]: input_userauth_request: invalid user postgres
Jul 26 04:32:38 ns3291907 sshd[29618]: pam_unix(sshd:auth): check pass; user unknown
Jul 26 04:32:38 ns3291907 sshd[29618]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.146.45.56
Jul 27 08:30:04 ns3291907 sshd[21176]: Did not receive identification string from 41.161.72.74
Jul 27 08:34:41 ns3291907 sshd[21349]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68-170-54-60.mammothnetworks.com user=root
Jul 27 08:34:43 ns3291907 sshd[21349]: Failed password for root from 68.170.54.60 port 38714 ssh2
Jul 27 08:34:43 ns3291907 sshd[21350]: Connection closed by 68.170.54.60
Jul 27 09:08:54 ns3291907 sshd[25333]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.40.67.48 user=root
Jul 27 09:08:57 ns3291907 sshd[25333]: Failed password for root from 103.40.67.48 port 36452 ssh2
Jul 27 09:08:57 ns3291907 sshd[25334]: Connection closed by 103.40.67.48
Jul 27 09:34:53 ns3291907 sshd[27991]: reverse mapping checking getaddrinfo for burikovs.example.com [82.146.45.56] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 27 09:34:53 ns3291907 sshd[27991]: Invalid user user3 from 82.146.45.56
Jul 27 09:34:53 ns3291907 sshd[27992]: input_userauth_request: invalid user user3
Jul 27 09:34:53 ns3291907 sshd[27991]: pam_unix(sshd:auth): check pass; user unknown
Jul 27 09:34:53 ns3291907 sshd[27991]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.146.45.56
Jul 28 19:06:54 ns3291907 sshd[21474]: Received disconnect from 119.48.248.77: 11: Bye Bye
Jul 28 19:06:58 ns3291907 sshd[21475]: reverse mapping checking getaddrinfo for 77.248.48.119.adsl-pool.jlccptt.net.cn [119.48.248.77] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 28 19:06:58 ns3291907 sshd[21475]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.48.248.77 user=admin
Jul 28 19:07:00 ns3291907 sshd[21475]: Failed password for admin from 119.48.248.77 port 37992 ssh2
Jul 28 19:07:00 ns3291907 sshd[21476]: Received disconnect from 119.48.248.77: 11: Bye Bye
Jul 28 19:07:04 ns3291907 sshd[21477]: reverse mapping checking getaddrinfo for 77.248.48.119.adsl-pool.jlccptt.net.cn [119.48.248.77] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 28 19:07:04 ns3291907 sshd[21477]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.48.248.77 user=admin
Jul 28 19:07:05 ns3291907 sshd[21477]: Failed password for admin from 119.48.248.77 port 39957 ssh2
Jul 28 19:07:06 ns3291907 sshd[21521]: Received disconnect from 119.48.248.77: 11: Bye Bye
Jul 28 19:07:09 ns3291907 sshd[21522]: reverse mapping checking getaddrinfo for 77.248.48.119.adsl-pool.jlccptt.net.cn [119.48.248.77] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 28 19:07:10 ns3291907 sshd[21522]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.48.248.77 user=admin
Jul 28 19:07:12 ns3291907 sshd[21522]: Failed password for admin from 119.48.248.77 port 41845 ssh2
Jul 28 19:07:12 ns3291907 sshd[21523]: Received disconnect from 119.48.248.77: 11: Bye Bye
Jul 28 19:13:19 ns3291907 sshd[22136]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=67.206.96.37 user=root
Jul 29 11:37:08 ns3291907 sshd[32641]: Received disconnect from 108.31.71.51: 11: Bye Bye
Jul 29 11:47:42 ns3291907 sshd[1728]: Invalid user test from 122.204.139.210
Jul 29 11:47:42 ns3291907 sshd[1729]: input_userauth_request: invalid user test
Jul 29 11:47:42 ns3291907 sshd[1728]: pam_unix(sshd:auth): check pass; user unknown
Jul 29 11:47:42 ns3291907 sshd[1728]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=122.204.139.210
Jul 29 11:47:42 ns3291907 sshd[1728]: pam_succeed_if(sshd:auth): error retrieving information about user test
Jul 29 11:47:44 ns3291907 sshd[1728]: Failed password for invalid user test from 122.204.139.210 port 54427 ssh2
Jul 29 11:47:44 ns3291907 sshd[1729]: Received disconnect from 122.204.139.210: 11: Bye Bye
Jul 29 11:47:47 ns3291907 sshd[1730]: Invalid user oracle from 122.204.139.210
Jul 29 11:47:47 ns3291907 sshd[1731]: input_userauth_request: invalid user oracle
Jul 29 11:47:47 ns3291907 sshd[1730]: pam_unix(sshd:auth): check pass; user unknown
Jul 29 11:47:47 ns3291907 sshd[1730]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=122.204.139.210
Jul 29 11:47:47 ns3291907 sshd[1730]: pam_succeed_if(sshd:auth): error retrieving information about user oracle
Jul 29 11:47:49 ns3291907 sshd[1730]: Failed password for invalid user oracle from 122.204.139.210 port 56525 ssh2
Jul 29 11:47:49 ns3291907 sshd[1731]: Received disconnect from 122.204.139.210: 11: Bye Bye
Jul 29 11:47:52 ns3291907 sshd[1732]: Invalid user guest from 122.204.139.210
Jul 29 11:47:52 ns3291907 sshd[1733]: input_userauth_request: invalid user guest
Jul 29 13:20:50 ns3291907 sshd[12792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-108-31-71-51.washdc.fios.verizon.net
Jul 29 13:20:50 ns3291907 sshd[12792]: pam_succeed_if(sshd:auth): error retrieving information about user test1
Jul 29 13:20:52 ns3291907 sshd[12792]: Failed password for invalid user test1 from 108.31.71.51 port 54074 ssh2
Jul 29 13:32:04 ns3291907 sshd[14015]: Invalid user test from 108.31.71.51
Jul 29 13:32:04 ns3291907 sshd[14016]: input_userauth_request: invalid user test
Jul 29 13:32:04 ns3291907 sshd[14015]: pam_unix(sshd:auth): check pass; user unknown
Jul 29 13:32:04 ns3291907 sshd[14015]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-108-31-71-51.washdc.fios.verizon.net
Jul 29 13:32:04 ns3291907 sshd[14015]: pam_succeed_if(sshd:auth): error retrieving information about user test
Jul 29 13:32:06 ns3291907 sshd[14015]: Failed password for invalid user test from 108.31.71.51 port 54203 ssh2
Jul 29 13:32:06 ns3291907 sshd[14016]: Received disconnect from 108.31.71.51: 11: Bye Bye
Jul 29 13:34:54 ns3291907 sshd[14103]: Invalid user spam from 108.31.71.51
Jul 29 13:34:54 ns3291907 sshd[14104]: input_userauth_request: invalid user spam
Jul 29 13:34:54 ns3291907 sshd[14103]: pam_unix(sshd:auth): check pass; user unknown
Jul 29 13:34:54 ns3291907 sshd[14103]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-108-31-71-51.washdc.fios.verizon.net
Jul 29 13:34:54 ns3291907 sshd[14103]: pam_succeed_if(sshd:auth): error retrieving information about user spam
|
и это не все, что есть в логе. IP адресы мне не знакомые, кто-то подбирает пароль и логин к серверу? И такие записи с 26 числа))
|
|
|
|
| |
продаю базы адалт кейвордов
С нами с 09.11.02
Сообщения: 9045
Рейтинг: 3772
|
| Добавлено: 29/07/15 в 18:59 |
сканируют сайт на предмет наличия уязвимостей
не ломают, а ищут известные дырки и недочеты безопасности
|
|
|
|
сдам подпись, стучите в личку
|
0
|
|
| |
С нами с 07.07.14
Сообщения: 92
Рейтинг: -39
|
| Добавлено: 29/07/15 в 20:43 |
| ivango писал: | сканируют сайт на предмет наличия уязвимостей
не ломают, а ищут известные дырки и недочеты безопасности |
Я так думаю сканируют они не для доброго дела?)
|
|
|
|
| |
С нами с 20.10.04
Сообщения: 3851
Рейтинг: 1044
|
| Добавлено: 30/07/15 в 03:52 |
А что, бывает, что сканируют для доброго дела? 
Да и в логах это не скан вовсе, а тупо ломятся в SSH, перебирая логины и пароли.
Перевесь SSH на любой друго порт полохмаче, и такие логи не появятся почти никогда.
|
|
|
|
| |
С нами с 25.07.15
Сообщения: 114
Рейтинг: 84
|
| Добавлено: 30/07/15 в 10:34 |
это банальный перебор по словарю. способов забыть про это несколько
1. уйти со стандартного 22 порта на любой другой, самый простой способ, но есть риск забыть номер порта 
2. установить fail2ban, способ чуть сложней, но эта штука как раз для таких переборов. при нескольких попытках в единицу времени неправильных паролей - ip в бан уходит на какое-то время
3. фаерволом ограничить ip которые могут заходить на ssh (если у вас статический ip или диапазон)
|
|
|
|
| |
С нами с 28.02.03
Сообщения: 8532
Рейтинг: 1609
|
| Добавлено: 06/08/15 в 22:24 |
| polusweb писал: |
но есть риск забыть номер порта
|
Для забывчивых есть команда nmap -A -T4 x.x.x.x 
Поэтому Я еще стораюсь поделывать приветствие, вместо Debian вывожу Navel или FreeBSD
И пушай ипуца с эксплоитами
Последний раз редактировалось: Alexs (06/08/15 в 23:04), всего редактировалось 1 раз
|
|
|
|
| |
С нами с 28.02.03
Сообщения: 8532
Рейтинг: 1609
|
| Добавлено: 06/08/15 в 22:24 |
del
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 06/08/15 в 23:07 |
Да ну, перебор по ссш совсем не эффективен при нормальных сложностях паролей. Логи только засирает, да.
|
|
|
|
| |
С нами с 25.07.15
Сообщения: 114
Рейтинг: 84
|
| Добавлено: 10/08/15 в 12:23 |
согласен. и если есть ротация логов, то это не проблема. единственно, что при необходимости читать логи, множество избыточной информации доятавляет неудобства
|
|
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
