Похоже поломали мне сервер.

Приходят абузы такого рода :

Цитата:

Hello, Your IP XX.XXX.XXX.X has been logged running brute force attacks against remote systems and is in violation of the HiVelocity AUP. Here is a snippet of log from complaint (full complaint can be found below my signature): All times are GMT+1. Feb 9 19:59:52 srv205 sshd[29124]: Invalid user a from ::ffff:XX.XXX.XXX.X Feb 9 19:59:52 srv205 sshd[29124]: Failed password for invalid user a from ::ffff:XX.XXX.XXX.X port 55699 ssh2 Feb 9 19:59:53 srv205 sshd[29169]: Invalid user b from ::ffff:XX.XXX.XXX.X Feb 9 19:59:53 srv205 sshd[29169]: Failed password for invalid user b from ::ffff:XX.XXX.XXX.X port 56057 ssh2 Feb 9 19:59:55 srv205 sshd[29177]: Invalid user c from ::ffff:XX.XXX.XXX.X Feb 9 19:59:55 srv205 sshd[29177]: Failed password for invalid user c from ::ffff:XX.XXX.XXX.X port 56176 ssh2 Feb 9 19:59:56 srv205 sshd[29199]: Invalid user d from ::ffff:XX.XXX.XXX.X Once you have secured the server, you may then request removal of the NULL ROUTE. To advise that you have secured the server you must log a trouble ticket and list actions taken. The trouble ticket system is located here: https://support.hivelocity.net/supportsuite/index.php Thank you! -Jay Sr. Systems Administrator HiVelocity Engineering Dept. http://www.hivelocity.net CONFIDENTIALITY NOTICE: The information in this e-mail message and any of its attachments is privileged and confidential and is intended solely for the indicated recipient. If you received this message in error, please delete it without copying or reading it, and notify the sender by return e-mail or by calling 888-869-4678 Additionally, this communication is not intended to convey legal advice to the recipient. **************************************************************** Below you may find a copy of the email message sent into abuse. **************************************************************** Dear Colleagues, Would you please be so kind to remove that user NOW? A report will be great. All times are GMT+1. Feb 9 19:59:52 srv205 sshd[29124]: Invalid user a from ::ffff:XX.XXX.XXX.X Feb 9 19:59:52 srv205 sshd[29124]: Failed password for invalid user a from ::ffff:XX.XXX.XXX.X port 55699 ssh2 Feb 9 19:59:53 srv205 sshd[29169]: Invalid user b from ::ffff:XX.XXX.XXX.X Feb 9 19:59:53 srv205 sshd[29169]: Failed password for invalid user b from ::ffff:XX.XXX.XXX.X port 56057 ssh2 Feb 9 19:59:55 srv205 sshd[29177]: Invalid user c from ::ffff:XX.XXX.XXX.X Feb 9 19:59:55 srv205 sshd[29177]: Failed password for invalid user c from ::ffff:XX.XXX.XXX.X port 56176 ssh2 Feb 9 19:59:56 srv205 sshd[29199]: Invalid user d from ::ffff:XX.XXX.XXX.X Feb 9 19:59:56 srv205 sshd[29199]: Failed password for invalid user d from ::ffff:XX.XXX.XXX.X port 56279 ssh2 Feb 9 20:01:56 srv205 sshd[29216]: fatal: Timeout before authentication for ::ffff:XX.XXX.XXX.X Feb 10 05:00:45 srv205 sshd[16356]: Did not receive identification string from ::ffff:XX.XXX.XXX.X Feb 10 10:07:13 srv205 sshd[8979]: Invalid user t1na from ::ffff:XX.XXX.XXX.X Feb 10 10:07:14 srv205 sshd[8979]: Failed password for invalid user t1na from ::ffff:XX.XXX.XXX.X port 38369 ssh2 Feb 10 10:07:15 srv205 sshd[8983]: Invalid user t1na from ::ffff:XX.XXX.XXX.X Feb 10 10:07:15 srv205 sshd[8983]: Failed password for invalid user t1na from ::ffff:XX.XXX.XXX.X port 38474 ssh2 Feb 10 10:07:16 srv205 sshd[8985]: Invalid user logic from ::ffff:XX.XXX.XXX.X Feb 10 10:07:16 srv205 sshd[8985]: Failed password for invalid user logic from ::ffff:XX.XXX.XXX.X port 38565 ssh2 Feb 10 10:07:17 srv205 sshd[8989]: Invalid user diablo from ::ffff:XX.XXX.XXX.X Feb 10 10:07:17 srv205 sshd[8989]: Failed password for invalid user diablo from ::ffff:XX.XXX.XXX.X port 38664 ssh2 Feb 10 10:09:17 srv205 sshd[8991]: fatal: Timeout before authentication for ::ffff:XX.XXX.XXX.X Feb 11 00:06:02 srv205 sshd[29071]: Invalid user alexis from ::ffff:XX.XXX.XXX.X Feb 11 00:06:02 srv205 sshd[29071]: Failed password for invalid user alexis from ::ffff:XX.XXX.XXX.X port 48369 ssh2 Feb 11 00:06:03 srv205 sshd[29073]: Invalid user art from ::ffff:XX.XXX.XXX.X Feb 11 00:06:03 srv205 sshd[29073]: Failed password for invalid user art from ::ffff:XX.XXX.XXX.X port 48513 ssh2 Feb 11 00:06:04 srv205 sshd[29075]: Invalid user desiree from ::ffff:XX.XXX.XXX.X Feb 11 00:06:04 srv205 sshd[29075]: Failed password for invalid user desiree from ::ffff:XX.XXX.XXX.X port 48624 ssh2 Feb 11 00:06:05 srv205 sshd[29077]: Invalid user abel from ::ffff:XX.XXX.XXX.X Feb 11 00:06:06 srv205 sshd[29077]: Failed password for invalid user abel from ::ffff:XX.XXX.XXX.X port 48724 ssh2 Feb 11 00:06:07 srv205 sshd[29086]: Invalid user doris from ::ffff:XX.XXX.XXX.X Feb 11 00:06:07 srv205 sshd[29086]: Failed password for invalid user doris from ::ffff:XX.XXX.XXX.X port 48866 ssh2 Feb 11 15:45:48 srv205 sshd[10906]: Invalid user a from ::ffff:XX.XXX.XXX.X Feb 11 15:45:49 srv205 sshd[10906]: Failed password for invalid user a from ::ffff:XX.XXX.XXX.X port 37650 ssh2 Feb 11 15:45:50 srv205 sshd[10916]: Invalid user b from ::ffff:XX.XXX.XXX.X Feb 11 15:45:50 srv205 sshd[10916]: Failed password for invalid user b from ::ffff:XX.XXX.XXX.X port 37761 ssh2 Feb 11 15:45:51 srv205 sshd[10924]: Invalid user c from ::ffff:XX.XXX.XXX.X Feb 11 15:45:51 srv205 sshd[10924]: Failed password for invalid user c from ::ffff:XX.XXX.XXX.X port 37830 ssh2 Mit freundlichen Grüßen / with best regards Hostmaster of the day ---- Office: Twosteps Ltd. & CO KG Flughafenrandstrasse 70629 Stuttgart-Flughafen Fon: (+49) 711-99 088 49 Fax: (+49) 711-99 088 51 Officetime 8:30 a.m. to 5:30 p.m. Handelsregisternummer HRA 2610 Registergericht Nürtingen Geschäftsführer Ralf Kayser Falls Sie Fragen oder Anregungen haben, erreichen Sie uns zwischen 8:30 Uhr und 17:30 Uhr unter der oben angegebenen Rufnummer. Zu jeder Zeit erreichen Sie unser Supportteam per Mail an support@twosteps.net. Selbstverständlich rufen wir Sie auch gerne zurück.

на сервере пять ip пытются брутфорсить судя по всему только с одного ip, на другие ip жалоб нет, но самое страшное что проблемный ip является главным, его уже отрубили, в админку не попасть. Что делать в какую сторону копать ? Подскажите плиз.

бегом к хостеру

есле доступа по сети уже нет то
проси квм и руками поднимай сервак либо хостера попроси

+ пускай закроют фаирволом ip скаторого ломяца

при нормальном сапорте достаточно сказать что ест подозоения на взлом оадьше это хлеб админов

что такое квм ? про файрвол спасибо попробую поговорить, но я не думаю что ip с которого ломятся один и тот же постоянно.

по-умолчанию все исходящие соединения идут с главного ип на интерфейсе, если прога не биндится на другой.
надо просить kvm или включит ь доступ временно.

там стоит линукс? нужно обновлять срочно, сегодня появился мега-эксплоит, которым можно сломать(local root) почти любое ядро, начиная с 2.6.17. ну и искать этот брутфорсер в процессах и тп.

А ты уверен что поломали? Например ко мне на каждый сервак по десятку ипов ежедневно долбятся на ssh и рутом и другими логинами. Я уже даже эту хуету про invalid user из отчетов мониторинга вырезал.

Gourad писал:

А ты уверен что поломали? Например ко мне на каждый сервак по десятку ипов ежедневно долбятся на ssh и рутом и другими логинами. Я уже даже эту хуету про invalid user из отчетов мониторинга вырезал.

да я хз что происходит, приходят абузы в дц и все, мне в саппорте сказали чтобы я проверил сервер, а я хз с какой стороны копать. Теперь вот из дц прислали уведомление что ип отрублен проблемный. Вот я и спрашиваю порядок действий.

На hivelocity.net обычно убирают из роутинга главную айпишку, остальные продолжают работать. Зайти можно на любую другую и убрать такую хрень. Ищи скрипты, прокси и т.п.

Mike Fox писал:

там стоит линукс? нужно обновлять срочно, сегодня появился мега-эксплоит, которым можно сломать(local root) почти любое ядро, начиная с 2.6.17. ну и искать этот брутфорсер в процессах и тп.

А по-подробнее можно ссылкой ?

Стартеру: Если сам с сервака не коннектишься по SSH , то как временное но быстрое решение рекоммендую заблокировать файерволом исходящие TCP на 22 порт.

Kosmos писал:

да я хз что происходит, приходят абузы в дц и все, мне в саппорте сказали чтобы я проверил сервер, а я хз с какой стороны копать. Теперь вот из дц прислали уведомление что ип отрублен проблемный. Вот я и спрашиваю порядок действий.

есле все так плохо то иши админа каторый сможет пофиксеть

время тут не натвоей стороне ткшо нафоруме ты врятле сможеш решить быстро

усле утвоего хостера руки не оттуда ростут раз вырубил ip исказал крутись как шочеш

то стукнись в сапорт другова хоста
есле ребята свободны то за пориделеную плату тебе помогут нахудой канец порекамендуют ковонибуть

ps:
KVM-switch (KVM — аббревиатура от Keyboard, Video, Mouse) — устройство, позволяющее посети у провлять машиной на прямую
и видеть что у нее на монеторе

http://www.ixbt.com/comm/kvm-theory.shtml

Kosmos писал:

чтоно я не думаю что ip с которого ломятся один и тот же постоянно.

невопрос за прити все ip кроме своего на 22 парту

я вот когда получаю новый сервак всегда
закрываю доступ с чужих ip на ftp и ssh

Alexs писал:

невопрос за прити все ip кроме своего на 22 парту я вот когда получаю новый сервак всегда закрываю доступ с чужих ip на ftp и ssh

Дык у чела проблема обратная. Какай-та падла с его сервака на 22 порты других ломится.

+1 закрыть входящие-исходящие пакеты по ssh файрволом. окромя ip овнера. и найти админа который разрулит ситуевину.