forum.opennet.ru - "меня кто пытается ломануть или это новый вирус? :)" (22)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"меня кто пытается ломануть или это новый вирус? :)"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"меня кто пытается ломануть или это новый вирус? :)"
Сообщение от qwerty (??) on 13-Авг-04, 10:06 (MSK)
server-name.ru login failures: Aug 12 11:59:12 server-name sshd[25743]: Failed password for illegal user test from 200.73.162.10 port 4999 ssh2 Aug 12 15:14:24 server-name sshd[26115]: Failed password for illegal user test from 210.0.186.83 port 53535 ssh2 Aug 12 15:14:28 server-name sshd[26116]: Failed password for illegal user guest from 210.0.186.83 port 53652 ssh2 Aug 12 15:14:31 server-name sshd[26117]: Failed password for illegal user admin from 210.0.186.83 port 53742 ssh2 Aug 12 15:14:35 server-name sshd[26118]: Failed password for illegal user admin from 210.0.186.83 port 53840 ssh2 Aug 12 15:14:39 server-name sshd[26119]: Failed password for illegal user user from 210.0.186.83 port 53933 ssh2 Aug 12 15:14:43 server-name sshd[26120]: Failed password for root from 210.0.186.83 port 54035 ssh2 Aug 12 15:14:46 server-name sshd[26121]: Failed password for root from 210.0.186.83 port 54098 ssh2 Aug 12 15:14:50 server-name sshd[26122]: Failed password for root from 210.0.186.83 port 54156 ssh2 Aug 12 15:14:54 server-name sshd[26123]: Failed password for illegal user test from 210.0.186.83 port 54201 ssh2 Aug 12 20:56:20 server-name sshd[26822]: Failed password for illegal user test from 195.28.70.15 port 2813 ssh2 Aug 12 20:56:22 server-name sshd[26823]: Failed password for illegal user guest from 195.28.70.15 port 2965 ssh2 Aug 12 20:56:23 server-name sshd[26824]: Failed password for illegal user admin from 195.28.70.15 port 3041 ssh2 Aug 12 20:56:25 server-name sshd[26825]: Failed password for illegal user admin from 195.28.70.15 port 3105 ssh2 Aug 12 20:56:26 server-name sshd[26826]: Failed password for illegal user user from 195.28.70.15 port 3159 ssh2 Aug 12 20:56:28 server-name sshd[26827]: Failed password for root from 195.28.70.15 port 3205 ssh2 Aug 12 20:56:29 server-name sshd[26828]: Failed password for root from 195.28.70.15 port 3253 ssh2 Aug 12 20:56:31 server-name sshd[26829]: Failed password for root from 195.28.70.15 port 3276 ssh2 Aug 12 20:56:32 server-name sshd[26830]: Failed password for illegal user test from 195.28.70.15 port 3297 ssh2 server-name.ru refused connections: ----------------------------cut-----------------------------------------
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

меня кто пытается ломануть или это новый вирус? :), mar, 10:54 , 13-Авг-04, (1)
меня кто пытается ломануть или это новый вирус? :), LLIaTyH, 11:15 , 13-Авг-04, (2)
- меня кто пытается ломануть или это новый вирус? :), mar, 11:18 , 13-Авг-04, (3)
- re, qwerty, 11:22 , 13-Авг-04, (4)
  - re, Brainbug, 11:35 , 13-Авг-04, (5)
    - re, qwerty, 11:44 , 13-Авг-04, (6)
    - re, LLIaTyH, 11:50 , 13-Авг-04, (7)
      - re, qwerty, 11:54 , 13-Авг-04, (8)
        
        re, ipmanyak, 13:02 , 13-Авг-04, (9)
        
        re, Brainbug, 13:44 , 13-Авг-04, (10)
        
        re, Agressor, 18:08 , 13-Авг-04, (11)
        
        re, Shalf, 09:47 , 14-Авг-04, (12)
        Тоже самое повторяется и у меня! Вот только у меня как раз s..., AMG, 12:08 , 17-Авг-04, (20)
        
        re, pva, 11:42 , 14-Авг-04, (13)
        
        re, pva, 12:24 , 14-Авг-04, (14)
        
        re, mar, 19:21 , 14-Авг-04, (15)
        
        re, RebelX, 20:06 , 14-Авг-04, (16)
        
        re, ru, 02:32 , 16-Авг-04, (17)
        
        re, EvilX, 05:03 , 16-Авг-04, (18)
        
        re, Sergei Wind, 10:23 , 16-Авг-04, (19)
        
        У меня такая же байда , Александр__, 15:20 , 11-Окт-04, (21)
        
        У меня такая же байда , qwerty, 15:26 , 11-Окт-04, (22)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "меня кто пытается ломануть или это новый вирус? :)"

Сообщение от mar (??) on 13-Авг-04, 10:54  (MSK)

ломают :) причем, судя по временам в логе - вручную (имхо).

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "меня кто пытается ломануть или это новый вирус? :)"

Сообщение от LLIaTyH (ok) on 13-Авг-04, 11:15  (MSK)

кто то развлекается,
у меня тоже периодически раз или 2 в день такое лезет, очень похоже на скан прогу которая при нахождении шела начинает стучат используя дефолтовые имена и пароли, а вдруг кто не закрылся!!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "меня кто пытается ломануть или это новый вирус? :)"

Сообщение от mar (??) on 13-Авг-04, 11:18  (MSK)

>кто то развлекается,
>у меня тоже периодически раз или 2 в день такое лезет, очень
>похоже на скан прогу которая при нахождении шела начинает стучат используя
>дефолтовые имена и пароли, а вдруг кто не закрылся!!!!
похоже, но когда пытаются ломать сканпрогами подбор идет очень быстро (время в логе)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "re"

Сообщение от qwerty (??) on 13-Авг-04, 11:22  (MSK)

ну пусть помучается ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "re"

Сообщение от Brainbug (ok) on 13-Авг-04, 11:35  (MSK)

>ну пусть помучается ;)
Ja bi nebil nastolko samouverennim.
Lubije podobnije ve6i trebuju vnimanija, daze esli eto prosto 4ji-to 6asolti.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "re"

Сообщение от qwerty (??) on 13-Авг-04, 11:44  (MSK)

>>ну пусть помучается ;)
>
>Ja bi nebil nastolko samouverennim.
>Lubije podobnije ve6i trebuju vnimanija, daze esli eto prosto 4ji-to 6asolti.
естественно! я и слежу.. вот только смущает ламернутость.. вернее тупые логины...может хотят усыпить мою бдительность что бы не обращал внимания а потом.. тьфу-тьфу.. ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "re"

Сообщение от LLIaTyH (ok) on 13-Авг-04, 11:50  (MSK)

Где то сдесь же видел уже топик на эту тему, было предложено решение написать провайдеру и пускай сам решает кто такой умный его клиентов ломает... или сканит
Как решение можно просто банить ip только я ежедневно слежу и там постоянно разные ip, а действия одинаковые, так что это решением назвать нельзя.....
Так что дейсвительно нужно прову пожаловаться, может они там чего нибудь замудрить смогут!!!

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "re"

Сообщение от qwerty (??) on 13-Авг-04, 11:54  (MSK)

не думаю что провайдеру мои проблемы интересны :)
почти на 99% уверен что остается или смирится или .. или оставить все как есть.. судя по логам - скан происходит в одни и те же промежутки времени вот уже 2 недели, практически точь в точь.. значит в сети какой то новый вирус прописался.. пока неизвестный антивирлабам..

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "re"

Сообщение от ipmanyak (??) on 13-Авг-04, 13:02  (MSK)

>не думаю что провайдеру мои проблемы интересны :)
>почти на 99% уверен что остается или смирится или .. или оставить
>все как есть.. судя по логам - скан происходит в одни
>и те же промежутки времени вот уже 2 недели, практически точь
>в точь.. значит в сети какой то новый вирус прописался.. пока
>неизвестный антивирлабам..
поставь portsentry, он автоматически будет банить ip в случае обращения на  порты в списке

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "re"

Сообщение от Brainbug (ok) on 13-Авг-04, 13:44  (MSK)

>>не думаю что провайдеру мои проблемы интересны :)
>>почти на 99% уверен что остается или смирится или .. или оставить
>>все как есть.. судя по логам - скан происходит в одни
>>и те же промежутки времени вот уже 2 недели, практически точь
>>в точь.. значит в сети какой то новый вирус прописался.. пока
>>неизвестный антивирлабам..
>поставь portsentry, он автоматически будет банить ip в случае обращения на
>порты в списке
Potencialnij kandidat na DoS v takom slu6aje.

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "re"

Сообщение от Agressor (??) on 13-Авг-04, 18:08  (MSK)

Вообще-то не понятно, тебе что доступ по ssh к твоей машине надо со всего мира? Я в этом не уверен...  Оставь открытым доступ только с тех IP, с которых он тебе действительно нужен, я не думаю что сканят именно с них...
И пусть думают что SSH сервер упал наф...

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "re"

Сообщение от Shalf on 14-Авг-04, 09:47  (MSK)

Если надо со всего мира и ваще откуда угодно, то делай так ;)
В настройках sshd открывай для IP-ков из локальной сети и для какого-нибудь доменного имени, например imadmin.no-ip.com .. No-ip.com это халявная зона, можно регить свои имена.. Выходишь в инет откуда хочешь, на сайте меняешь IP на свой и вперед =) Ну и конечно порты sshd измени =)

Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "Тоже самое повторяется и у меня! Вот только у меня как раз s..."

Сообщение от AMG (??) on 17-Авг-04, 12:08  (MSK)

для одного единственного адреса ! и все равно в логах видно подключение с разных IP!!!! В чем дело, подскажите , плз!
тип firewall закрытый, что касается ssh
allow tcp from my_ip_addrr. to me 22
reject tcp from any to me 22,23
Причем, когда, я сам коннекчусь к сервреу не с нужного IP, то все OK! он не пускает!
Каким образом они подключаются?

Началась эта бодяга примерно пару нед. назад и продолж до сих пор!

и Portsentry постоянно закрывает попытки соед. на 111, 1080 порты, опять-таки с разных IP.
Спасибо!

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "re"

Сообщение от pva (??) on 14-Авг-04, 11:42  (MSK)

У меня на трех серверах происходит тоже самое, те же логины , а также постоянно тычутся в root !
мое мнение что это типа вирус новый, только почему при такой активности в сети, о нем ничего не слышно ?
Мой лог:
=====================
Aug 13 15:21:49 mail sshd[71886]: Illegal user test from 24.85.217.244
Aug 13 15:21:56 mail sshd[71888]: Illegal user guest from 24.85.217.244
Aug 13 15:22:00 mail sshd[71892]: Illegal user admin from 24.85.217.244
Aug 13 15:22:04 mail sshd[71907]: Illegal user admin from 24.85.217.244
Aug 13 15:22:08 mail sshd[71909]: Illegal user user from 24.85.217.244
=====================
Aug 13 22:25:23 mail sshd[77833]: Failed password for root from 211.238.160.28 port 3001 ssh2
Aug 13 22:25:26 mail sshd[77836]: Failed password for root from 211.238.160.28 port 3129 ssh2
Aug 13 22:25:30 mail sshd[77838]: Failed password for root from 211.238.160.28 port 3189 ssh2
=====================
судя по интервалам между попытками, не так уж и медленно , короче явно програмуля, ну или если кто нить знает шо нить вразумительное по этому поводу, буду благодарен за информацию !

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "re"

Сообщение от pva (??) on 14-Авг-04, 12:24  (MSK)

здесь много всякого флейма, но хоть что нить по этому поводу есть:
(начали как обычно за здравие ... :)
http://forum.wbfree.net/forums/archive/index.php/t-23350.html

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "re"

Сообщение от mar (??) on 14-Авг-04, 19:21  (MSK)

>http://forum.wbfree.net/forums/archive/index.php/t-23350.html
хм. беру свои слова назад. это, конечно, роботы (или вирусы ;)) -
пришло письмо freebsd-security рассылки, - там народ то же самое обсуждает. Ну в основном, все, что тут уже говорилось, кроме, пожалуй, одного любопытного письма. Привожу полностью:
Message: 5
Date: Fri, 13 Aug 2004 16:57:07 +0200
Heya,
this is probably the same piece of malware that has been discussed on f-d
recently. The username/password combination guest and test are hardcoded into
a little statically linked binary which is commonly used together with a
SYN scanner.
Chances are good these attempts are coming from a compromised box - you may
want to look into that if it is in your realms.
If you need more info, I disassembled them both and made a quick analysis, check
the f-d archives.
Cheers, J.

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "re"

Сообщение от RebelX (ok) on 14-Авг-04, 20:06  (MSK)

>не думаю что провайдеру мои проблемы интересны :)
>почти на 99% уверен что остается или смирится или .. или оставить
>все как есть.. судя по логам - скан происходит в одни
>и те же промежутки времени вот уже 2 недели, практически точь
>в точь.. значит в сети какой то новый вирус прописался.. пока
>неизвестный антивирлабам..
У меня таже фигня раз-два в день.
Я написал письмо прову, владельцу одного из исходных ip.
Включил кусок лога и написал что могут быть проблемы как у меня так и у него (забугорного прова)... Не знаю что сделал пров, но с того ip обращений больше не было... правда и ответа от прова тоже (может он английский не знает?!)

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "re"

Сообщение от ru (??) on 16-Авг-04, 02:32  (MSK)

Мужики сделайте порт для sshd не стандартный (2222)
конечно это далеко не понацея но после этого я
в своих логах давно подобного не видел ведь
как правило сканельщики лазят по стандартным портам

Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "re"

Сообщение от EvilX (ok) on 16-Авг-04, 05:03  (MSK)

Ты не прав. Провайдерам это очень интересно. Я на такие вещи гляжу whois, устанавливаю кто владелец айпишников и отписываю на адрес мэйла. В 9 случаях из 10 письмо просматривается человеком и обычно там прооводятся разъяснительные мероприятия. Специально эксперименет ставил с товарищем с запада. Так что рекомендую написать. ИМХО хоть от хакеров и не спасёшься, но скрипт кидисов остановишь.
В письме пишешь  что-нить типа
hackers attack atempt from your hosts:
<list of ips>
Далее вкладываешь фрагмент лога.
Время реакции от 15 минут до 1 дня.
Последний пример. Пытались так же ламерно поломать, причём поток шёёл с разных айпи, разных провайдеров. Шло в течении уже 2-х дней не переставая. Т.к. я был в отпуске вынужденом, то не мог проконтролировать. Когда увидел это, то не мудурствуя лукаво написал письма по предложеной технологии и через сутки поток прекратился.
От провайдеров ответные письма пришли. Но это стандартная отписка:
>thank you for bringing this matter to our attention. The account in >question
>has been suspended.
Так что надо писать. Лишние сообщениня из логов убираются сразу. И детишек лишний раз надо попугать.

Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "re"

Сообщение от Sergei Wind on 16-Авг-04, 10:23  (MSK)

...
Aug 14 21:36:33 Kaitec sshd[16698]: Illegal user test from 62.161.32.65
Aug 14 21:36:33 Kaitec sshd[16698]: Failed password for illegal user test from 62.161.32.65 port 2870 ssh2
Aug 14 21:36:34 Kaitec sshd[16700]: Illegal user guest from 62.161.32.65
Aug 14 21:36:34 Kaitec sshd[16700]: Failed password for illegal user guest from 62.161.32.65 port 2931 ssh2
Aug 14 21:36:36 Kaitec sshd[16702]: Illegal user admin from 62.161.32.65
Aug 14 21:36:36 Kaitec sshd[16702]: Failed password for illegal user admin from 62.161.32.65 port 3008 ssh2
Aug 14 21:36:38 Kaitec sshd[16704]: Illegal user admin from 62.161.32.65
Aug 14 21:36:38 Kaitec sshd[16704]: Failed password for illegal user admin from 62.161.32.65 port 3090 ssh2
Aug 14 21:36:42 Kaitec sshd[16706]: Illegal user user from 62.161.32.65
Aug 14 21:36:42 Kaitec sshd[16706]: Failed password for illegal user user from 62.161.32.65 port 3178 ssh2
Aug 14 21:36:44 Kaitec sshd[16708]: Failed password for root from 62.161.32.65 port 3354 ssh2
Aug 14 21:36:45 Kaitec sshd[16710]: Failed password for root from 62.161.32.65 port 3428 ssh2
Aug 14 21:36:47 Kaitec sshd[16712]: Failed password for root from 62.161.32.65 port 3505 ssh2
....
Как говорится, те же яйца, только в профиль. Началось где то неделю назад и каждый день регулярно повторяется. Наверное и вправду надо писма начинать писать.

Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "У меня такая же байда "

Сообщение от Александр__ on 11-Окт-04, 15:20  (MSK)

У меня такая же байда
с перепугу поставил пароль 60 символов )) пусть подбиирают ))

Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "У меня такая же байда "

Сообщение от qwerty (??) on 11-Окт-04, 15:26  (MSK)

вот тока логи посмотрел - ЗАТРАХАЛИ млин!
похоже атака по словарю началась
Oct 10 11:40:36 мой_сервер sshd[37993]: Failed password for qwerty from 62.118.144.196 port 3182 ssh2
Oct 10 14:13:44 мой_сервер sshd[38232]: Failed password for nobody from 210.90.74.196 port 2348 ssh2
Oct 10 14:13:48 мой_сервер sshd[38234]: Failed password for invalid user patrick from 210.90.74.196 port 2377 ssh2
Oct 10 14:13:52 мой_сервер sshd[38236]: Failed password for invalid user patrick from 210.90.74.196 port 2414 ssh2
Oct 10 15:59:10 мой_сервер sshd[38377]: Failed password for nobody from 212.34.137.173 port 56091 ssh2
Oct 10 15:59:14 мой_сервер sshd[38379]: Failed password for invalid user patrick from 212.34.137.173 port 56123 ssh2
Oct 10 15:59:17 мой_сервер sshd[38381]: Failed password for invalid user patrick from 212.34.137.173 port 56246 ssh2
Oct 10 18:14:15 мой_сервер sshd[38572]: Failed password for nobody from 211.43.217.240 port 56624 ssh2
Oct 10 18:14:19 мой_сервер sshd[38574]: Failed password for invalid user patrick from 211.43.217.240 port 56951 ssh2
Oct 10 18:14:23 мой_сервер sshd[38576]: Failed password for invalid user patrick from 211.43.217.240 port 57256 ssh2
Oct 10 18:14:26 мой_сервер sshd[38578]: Failed password for root from 211.43.217.240 port 57584 ssh2
Oct 10 18:14:31 мой_сервер sshd[38580]: Failed password for root from 211.43.217.240 port 57869 ssh2
Oct 10 18:14:36 мой_сервер sshd[38582]: Failed password for root from 211.43.217.240 port 58373 ssh2
Oct 10 18:14:41 мой_сервер sshd[38584]: Failed password for root from 211.43.217.240 port 58658 ssh2
Oct 10 18:14:44 мой_сервер sshd[38586]: Failed password for root from 211.43.217.240 port 59030 ssh2
Oct 10 18:14:48 мой_сервер sshd[38588]: Failed password for invalid user rolo from 211.43.217.240 port 59330 ssh2
Oct 10 18:14:51 мой_сервер sshd[38590]: Failed password for invalid user iceuser from 211.43.217.240 port 59621 ssh2
Oct 10 18:14:55 мой_сервер sshd[38592]: Failed password for invalid user horde from 211.43.217.240 port 59924 ssh2
Oct 10 18:14:58 мой_сервер sshd[38594]: Failed password for invalid user cyrus from 211.43.217.240 port 60205 ssh2
Oct 10 18:15:02 мой_сервер sshd[38596]: Failed password for www from 211.43.217.240 port 60506 ssh2
Oct 10 18:15:06 мой_сервер sshd[38601]: Failed password for invalid user wwwrun from 211.43.217.240 port 60796 ssh2
Oct 10 18:15:09 мой_сервер sshd[38603]: Failed password for invalid user matt from 211.43.217.240 port 32887 ssh2
Oct 10 18:15:13 мой_сервер sshd[38605]: Failed password for invalid user test from 211.43.217.240 port 33205 ssh2
Oct 10 18:15:16 мой_сервер sshd[38607]: Failed password for invalid user test from 211.43.217.240 port 33562 ssh2
Oct 10 18:15:21 мой_сервер sshd[38609]: Failed password for invalid user test from 211.43.217.240 port 33885 ssh2
Oct 10 18:15:26 мой_сервер sshd[38611]: Failed password for invalid user test from 211.43.217.240 port 34315 ssh2
Oct 10 18:15:29 мой_сервер sshd[38613]: Failed password for invalid user www-data from 211.43.217.240 port 34708 ssh2
Oct 10 18:15:33 мой_сервер sshd[38615]: Failed password for mysql from 211.43.217.240 port 35020 ssh2

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "меня кто пытается ломануть или это новый вирус? :)"
Сообщение от mar (??) on 13-Авг-04, 10:54 (MSK)
ломают :) причем, судя по временам в логе - вручную (имхо).
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "меня кто пытается ломануть или это новый вирус? :)"
Сообщение от LLIaTyH (ok) on 13-Авг-04, 11:15 (MSK)
кто то развлекается, у меня тоже периодически раз или 2 в день такое лезет, очень похоже на скан прогу которая при нахождении шела начинает стучат используя дефолтовые имена и пароли, а вдруг кто не закрылся!!!!
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "меня кто пытается ломануть или это новый вирус? :)"
	Сообщение от mar (??) on 13-Авг-04, 11:18 (MSK)
	>кто то развлекается, >у меня тоже периодически раз или 2 в день такое лезет, очень >похоже на скан прогу которая при нахождении шела начинает стучат используя >дефолтовые имена и пароли, а вдруг кто не закрылся!!!! похоже, но когда пытаются ломать сканпрогами подбор идет очень быстро (время в логе)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "re"
	Сообщение от qwerty (??) on 13-Авг-04, 11:22 (MSK)
	ну пусть помучается ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "re"
	Сообщение от Brainbug (ok) on 13-Авг-04, 11:35 (MSK)
	>ну пусть помучается ;) Ja bi nebil nastolko samouverennim. Lubije podobnije ve6i trebuju vnimanija, daze esli eto prosto 4ji-to 6asolti.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "re"
	Сообщение от qwerty (??) on 13-Авг-04, 11:44 (MSK)
	>>ну пусть помучается ;) > >Ja bi nebil nastolko samouverennim. >Lubije podobnije ve6i trebuju vnimanija, daze esli eto prosto 4ji-to 6asolti. естественно! я и слежу.. вот только смущает ламернутость.. вернее тупые логины...может хотят усыпить мою бдительность что бы не обращал внимания а потом.. тьфу-тьфу.. ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "re"
	Сообщение от LLIaTyH (ok) on 13-Авг-04, 11:50 (MSK)
	Где то сдесь же видел уже топик на эту тему, было предложено решение написать провайдеру и пускай сам решает кто такой умный его клиентов ломает... или сканит Как решение можно просто банить ip только я ежедневно слежу и там постоянно разные ip, а действия одинаковые, так что это решением назвать нельзя..... Так что дейсвительно нужно прову пожаловаться, может они там чего нибудь замудрить смогут!!!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "re"
	Сообщение от qwerty (??) on 13-Авг-04, 11:54 (MSK)
	не думаю что провайдеру мои проблемы интересны :) почти на 99% уверен что остается или смирится или .. или оставить все как есть.. судя по логам - скан происходит в одни и те же промежутки времени вот уже 2 недели, практически точь в точь.. значит в сети какой то новый вирус прописался.. пока неизвестный антивирлабам..
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "re"
	Сообщение от ipmanyak (??) on 13-Авг-04, 13:02 (MSK)
	>не думаю что провайдеру мои проблемы интересны :) >почти на 99% уверен что остается или смирится или .. или оставить >все как есть.. судя по логам - скан происходит в одни >и те же промежутки времени вот уже 2 недели, практически точь >в точь.. значит в сети какой то новый вирус прописался.. пока >неизвестный антивирлабам.. поставь portsentry, он автоматически будет банить ip в случае обращения на порты в списке
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "re"
	Сообщение от Brainbug (ok) on 13-Авг-04, 13:44 (MSK)
	>>не думаю что провайдеру мои проблемы интересны :) >>почти на 99% уверен что остается или смирится или .. или оставить >>все как есть.. судя по логам - скан происходит в одни >>и те же промежутки времени вот уже 2 недели, практически точь >>в точь.. значит в сети какой то новый вирус прописался.. пока >>неизвестный антивирлабам.. >поставь portsentry, он автоматически будет банить ip в случае обращения на >порты в списке Potencialnij kandidat na DoS v takom slu6aje.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "re"
	Сообщение от Agressor (??) on 13-Авг-04, 18:08 (MSK)
	Вообще-то не понятно, тебе что доступ по ssh к твоей машине надо со всего мира? Я в этом не уверен... Оставь открытым доступ только с тех IP, с которых он тебе действительно нужен, я не думаю что сканят именно с них... И пусть думают что SSH сервер упал наф...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "re"
	Сообщение от Shalf on 14-Авг-04, 09:47 (MSK)
	Если надо со всего мира и ваще откуда угодно, то делай так ;) В настройках sshd открывай для IP-ков из локальной сети и для какого-нибудь доменного имени, например imadmin.no-ip.com .. No-ip.com это халявная зона, можно регить свои имена.. Выходишь в инет откуда хочешь, на сайте меняешь IP на свой и вперед =) Ну и конечно порты sshd измени =)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "Тоже самое повторяется и у меня! Вот только у меня как раз s..."
	Сообщение от AMG (??) on 17-Авг-04, 12:08 (MSK)
	для одного единственного адреса ! и все равно в логах видно подключение с разных IP!!!! В чем дело, подскажите , плз! тип firewall закрытый, что касается ssh allow tcp from my_ip_addrr. to me 22 reject tcp from any to me 22,23 Причем, когда, я сам коннекчусь к сервреу не с нужного IP, то все OK! он не пускает! Каким образом они подключаются? Началась эта бодяга примерно пару нед. назад и продолж до сих пор! и Portsentry постоянно закрывает попытки соед. на 111, 1080 порты, опять-таки с разных IP. Спасибо!
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "re"
	Сообщение от pva (??) on 14-Авг-04, 11:42 (MSK)
	У меня на трех серверах происходит тоже самое, те же логины , а также постоянно тычутся в root ! мое мнение что это типа вирус новый, только почему при такой активности в сети, о нем ничего не слышно ? Мой лог: ===================== Aug 13 15:21:49 mail sshd[71886]: Illegal user test from 24.85.217.244 Aug 13 15:21:56 mail sshd[71888]: Illegal user guest from 24.85.217.244 Aug 13 15:22:00 mail sshd[71892]: Illegal user admin from 24.85.217.244 Aug 13 15:22:04 mail sshd[71907]: Illegal user admin from 24.85.217.244 Aug 13 15:22:08 mail sshd[71909]: Illegal user user from 24.85.217.244 ===================== Aug 13 22:25:23 mail sshd[77833]: Failed password for root from 211.238.160.28 port 3001 ssh2 Aug 13 22:25:26 mail sshd[77836]: Failed password for root from 211.238.160.28 port 3129 ssh2 Aug 13 22:25:30 mail sshd[77838]: Failed password for root from 211.238.160.28 port 3189 ssh2 ===================== судя по интервалам между попытками, не так уж и медленно , короче явно програмуля, ну или если кто нить знает шо нить вразумительное по этому поводу, буду благодарен за информацию !
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "re"
	Сообщение от pva (??) on 14-Авг-04, 12:24 (MSK)
	здесь много всякого флейма, но хоть что нить по этому поводу есть: (начали как обычно за здравие ... :) http://forum.wbfree.net/forums/archive/index.php/t-23350.html
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "re"
	Сообщение от mar (??) on 14-Авг-04, 19:21 (MSK)
	>http://forum.wbfree.net/forums/archive/index.php/t-23350.html хм. беру свои слова назад. это, конечно, роботы (или вирусы ;)) - пришло письмо freebsd-security рассылки, - там народ то же самое обсуждает. Ну в основном, все, что тут уже говорилось, кроме, пожалуй, одного любопытного письма. Привожу полностью: Message: 5 Date: Fri, 13 Aug 2004 16:57:07 +0200 Heya, this is probably the same piece of malware that has been discussed on f-d recently. The username/password combination guest and test are hardcoded into a little statically linked binary which is commonly used together with a SYN scanner. Chances are good these attempts are coming from a compromised box - you may want to look into that if it is in your realms. If you need more info, I disassembled them both and made a quick analysis, check the f-d archives. Cheers, J.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "re"
	Сообщение от RebelX (ok) on 14-Авг-04, 20:06 (MSK)
	>не думаю что провайдеру мои проблемы интересны :) >почти на 99% уверен что остается или смирится или .. или оставить >все как есть.. судя по логам - скан происходит в одни >и те же промежутки времени вот уже 2 недели, практически точь >в точь.. значит в сети какой то новый вирус прописался.. пока >неизвестный антивирлабам.. У меня таже фигня раз-два в день. Я написал письмо прову, владельцу одного из исходных ip. Включил кусок лога и написал что могут быть проблемы как у меня так и у него (забугорного прова)... Не знаю что сделал пров, но с того ip обращений больше не было... правда и ответа от прова тоже (может он английский не знает?!)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "re"
	Сообщение от ru (??) on 16-Авг-04, 02:32 (MSK)
	Мужики сделайте порт для sshd не стандартный (2222) конечно это далеко не понацея но после этого я в своих логах давно подобного не видел ведь как правило сканельщики лазят по стандартным портам
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "re"
	Сообщение от EvilX (ok) on 16-Авг-04, 05:03 (MSK)
	Ты не прав. Провайдерам это очень интересно. Я на такие вещи гляжу whois, устанавливаю кто владелец айпишников и отписываю на адрес мэйла. В 9 случаях из 10 письмо просматривается человеком и обычно там прооводятся разъяснительные мероприятия. Специально эксперименет ставил с товарищем с запада. Так что рекомендую написать. ИМХО хоть от хакеров и не спасёшься, но скрипт кидисов остановишь. В письме пишешь что-нить типа hackers attack atempt from your hosts: <list of ips> Далее вкладываешь фрагмент лога. Время реакции от 15 минут до 1 дня. Последний пример. Пытались так же ламерно поломать, причём поток шёёл с разных айпи, разных провайдеров. Шло в течении уже 2-х дней не переставая. Т.к. я был в отпуске вынужденом, то не мог проконтролировать. Когда увидел это, то не мудурствуя лукаво написал письма по предложеной технологии и через сутки поток прекратился. От провайдеров ответные письма пришли. Но это стандартная отписка: >thank you for bringing this matter to our attention. The account in >question >has been suspended. Так что надо писать. Лишние сообщениня из логов убираются сразу. И детишек лишний раз надо попугать.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	19. "re"
	Сообщение от Sergei Wind on 16-Авг-04, 10:23 (MSK)
	... Aug 14 21:36:33 Kaitec sshd[16698]: Illegal user test from 62.161.32.65 Aug 14 21:36:33 Kaitec sshd[16698]: Failed password for illegal user test from 62.161.32.65 port 2870 ssh2 Aug 14 21:36:34 Kaitec sshd[16700]: Illegal user guest from 62.161.32.65 Aug 14 21:36:34 Kaitec sshd[16700]: Failed password for illegal user guest from 62.161.32.65 port 2931 ssh2 Aug 14 21:36:36 Kaitec sshd[16702]: Illegal user admin from 62.161.32.65 Aug 14 21:36:36 Kaitec sshd[16702]: Failed password for illegal user admin from 62.161.32.65 port 3008 ssh2 Aug 14 21:36:38 Kaitec sshd[16704]: Illegal user admin from 62.161.32.65 Aug 14 21:36:38 Kaitec sshd[16704]: Failed password for illegal user admin from 62.161.32.65 port 3090 ssh2 Aug 14 21:36:42 Kaitec sshd[16706]: Illegal user user from 62.161.32.65 Aug 14 21:36:42 Kaitec sshd[16706]: Failed password for illegal user user from 62.161.32.65 port 3178 ssh2 Aug 14 21:36:44 Kaitec sshd[16708]: Failed password for root from 62.161.32.65 port 3354 ssh2 Aug 14 21:36:45 Kaitec sshd[16710]: Failed password for root from 62.161.32.65 port 3428 ssh2 Aug 14 21:36:47 Kaitec sshd[16712]: Failed password for root from 62.161.32.65 port 3505 ssh2 .... Как говорится, те же яйца, только в профиль. Началось где то неделю назад и каждый день регулярно повторяется. Наверное и вправду надо писма начинать писать.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	21. "У меня такая же байда "
	Сообщение от Александр__ on 11-Окт-04, 15:20 (MSK)
	У меня такая же байда с перепугу поставил пароль 60 символов )) пусть подбиирают ))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	22. "У меня такая же байда "
	Сообщение от qwerty (??) on 11-Окт-04, 15:26 (MSK)
	вот тока логи посмотрел - ЗАТРАХАЛИ млин! похоже атака по словарю началась Oct 10 11:40:36 мой_сервер sshd[37993]: Failed password for qwerty from 62.118.144.196 port 3182 ssh2 Oct 10 14:13:44 мой_сервер sshd[38232]: Failed password for nobody from 210.90.74.196 port 2348 ssh2 Oct 10 14:13:48 мой_сервер sshd[38234]: Failed password for invalid user patrick from 210.90.74.196 port 2377 ssh2 Oct 10 14:13:52 мой_сервер sshd[38236]: Failed password for invalid user patrick from 210.90.74.196 port 2414 ssh2 Oct 10 15:59:10 мой_сервер sshd[38377]: Failed password for nobody from 212.34.137.173 port 56091 ssh2 Oct 10 15:59:14 мой_сервер sshd[38379]: Failed password for invalid user patrick from 212.34.137.173 port 56123 ssh2 Oct 10 15:59:17 мой_сервер sshd[38381]: Failed password for invalid user patrick from 212.34.137.173 port 56246 ssh2 Oct 10 18:14:15 мой_сервер sshd[38572]: Failed password for nobody from 211.43.217.240 port 56624 ssh2 Oct 10 18:14:19 мой_сервер sshd[38574]: Failed password for invalid user patrick from 211.43.217.240 port 56951 ssh2 Oct 10 18:14:23 мой_сервер sshd[38576]: Failed password for invalid user patrick from 211.43.217.240 port 57256 ssh2 Oct 10 18:14:26 мой_сервер sshd[38578]: Failed password for root from 211.43.217.240 port 57584 ssh2 Oct 10 18:14:31 мой_сервер sshd[38580]: Failed password for root from 211.43.217.240 port 57869 ssh2 Oct 10 18:14:36 мой_сервер sshd[38582]: Failed password for root from 211.43.217.240 port 58373 ssh2 Oct 10 18:14:41 мой_сервер sshd[38584]: Failed password for root from 211.43.217.240 port 58658 ssh2 Oct 10 18:14:44 мой_сервер sshd[38586]: Failed password for root from 211.43.217.240 port 59030 ssh2 Oct 10 18:14:48 мой_сервер sshd[38588]: Failed password for invalid user rolo from 211.43.217.240 port 59330 ssh2 Oct 10 18:14:51 мой_сервер sshd[38590]: Failed password for invalid user iceuser from 211.43.217.240 port 59621 ssh2 Oct 10 18:14:55 мой_сервер sshd[38592]: Failed password for invalid user horde from 211.43.217.240 port 59924 ssh2 Oct 10 18:14:58 мой_сервер sshd[38594]: Failed password for invalid user cyrus from 211.43.217.240 port 60205 ssh2 Oct 10 18:15:02 мой_сервер sshd[38596]: Failed password for www from 211.43.217.240 port 60506 ssh2 Oct 10 18:15:06 мой_сервер sshd[38601]: Failed password for invalid user wwwrun from 211.43.217.240 port 60796 ssh2 Oct 10 18:15:09 мой_сервер sshd[38603]: Failed password for invalid user matt from 211.43.217.240 port 32887 ssh2 Oct 10 18:15:13 мой_сервер sshd[38605]: Failed password for invalid user test from 211.43.217.240 port 33205 ssh2 Oct 10 18:15:16 мой_сервер sshd[38607]: Failed password for invalid user test from 211.43.217.240 port 33562 ssh2 Oct 10 18:15:21 мой_сервер sshd[38609]: Failed password for invalid user test from 211.43.217.240 port 33885 ssh2 Oct 10 18:15:26 мой_сервер sshd[38611]: Failed password for invalid user test from 211.43.217.240 port 34315 ssh2 Oct 10 18:15:29 мой_сервер sshd[38613]: Failed password for invalid user www-data from 211.43.217.240 port 34708 ssh2 Oct 10 18:15:33 мой_сервер sshd[38615]: Failed password for mysql from 211.43.217.240 port 35020 ssh2
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх