auth.log

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
kapka
мл. сержант
Сообщения: 133
Зарегистрирован: 2007-10-25 15:58:13
Откуда: Украина
Контактная информация:

auth.log

Непрочитанное сообщение kapka » 2008-03-22 11:25:33

Код: Выделить всё

Mar 21 17:49:39 srv sshd[40435]: Invalid user admin from 201.88.73.66
Mar 21 17:49:44 srv sshd[40437]: Address 201.88.73.66 maps to correio.fastburger.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:49:49 srv sshd[40439]: Address 201.88.73.66 maps to correio.goodfood.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:49:49 srv sshd[40439]: Invalid user stud from 201.88.73.66
Mar 21 17:49:55 srv sshd[40441]: Address 201.88.73.66 maps to correio.estacaoburger.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:49:55 srv sshd[40441]: Invalid user trash from 201.88.73.66
Mar 21 17:50:00 srv sshd[40444]: Address 201.88.73.66 maps to correio.kingfood.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:00 srv sshd[40444]: Invalid user aaron from 201.88.73.66
Mar 21 17:50:04 srv sshd[40449]: reverse mapping checking getaddrinfo for correio.burgerkingcentrosul.com.br [201.88.73.66] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:04 srv sshd[40449]: Invalid user gt05 from 201.88.73.66
Mar 21 17:50:09 srv sshd[40451]: Address 201.88.73.66 maps to correio.fastburger.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:09 srv sshd[40451]: Invalid user william from 201.88.73.66
Mar 21 17:50:14 srv sshd[40453]: Address 201.88.73.66 maps to correio.goodfood.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:14 srv sshd[40453]: Invalid user stephanie from 201.88.73.66
Mar 21 17:50:19 srv sshd[40456]: Address 201.88.73.66 maps to correio.estacaoburger.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:24 srv sshd[40458]: Address 201.88.73.66 maps to correio.kingfood.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:33 srv sshd[40460]: reverse mapping checking getaddrinfo for correio.burgerkingcentrosul.com.br [201.88.73.66] failed - POSSIBLE BREAK-IN ATTEMPT!
Это небольшой фрагмент из auth.log. Кто-то интенсивно пытается подобрать логин по ssh, логи по часам растут. Умею только файрволом IP закрыть, но это явно не выход, он есть разный. Как профи в таких случаях поступают?
мы живем в стране с обширными недокументированными возможностями...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

polvo
ефрейтор
Сообщения: 54
Зарегистрирован: 2008-03-15 10:57:08

Re: auth.log

Непрочитанное сообщение polvo » 2008-03-22 12:37:40

Погугли fail2ban

Аватара пользователя
toughcat
мл. сержант
Сообщения: 97
Зарегистрирован: 2007-06-28 2:23:48
Контактная информация:

Re: auth.log

Непрочитанное сообщение toughcat » 2008-03-22 12:48:13

Например sshit
Вообще в /usr/ports/security много по этой теме

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: auth.log

Непрочитанное сообщение dikens3 » 2008-03-22 15:33:50

Как профи в таких случаях поступают?
1. Перевесить на другой порт (т.е убрать с 22-го). Как правило боты больше не ломятся.
2. Настроить knock.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

ProFTP
проходил мимо

Re: auth.log

Непрочитанное сообщение ProFTP » 2008-04-10 15:32:19

у меня закрыт 22, но я работаю через НАТ и у меня открыт к ISP все динамические порты

Код: Выделить всё

add allow ip from any 49151-65535 to any

add 270 allow ip from any to me  49151-65535
add 280 allow ip from me to any  49151-65535

это правильно или нет?

хотел спросить, где есть списко спам подсетей иди хостов?

ProFTP
проходил мимо

Re: auth.log

Непрочитанное сообщение ProFTP » 2008-04-10 15:33:24

как понять какой из них 53 и 21 и 80?

если данмические порты закрыть то 53 и 21 работаеть не будут

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: auth.log

Непрочитанное сообщение Morty » 2008-04-10 16:59:10

ProFTP писал(а):у меня закрыт 22, но я работаю через НАТ и у меня открыт к ISP все динамические порты

Код: Выделить всё


хотел спросить, где есть списко спам подсетей иди хостов?[/quote]
хз можети такого и нет, можно конечно попробовать всех попросить выложить
свои блоки для экзима, фаера,(то что для хостов) а потом это дело объеденить ггг  :idea: 
может из этого что хорошее и получиться

ProFTP
проходил мимо

Re: auth.log

Непрочитанное сообщение ProFTP » 2008-04-10 17:53:15

а динамические порты безопастно открыть все?

ProFTP
проходил мимо

Re: auth.log

Непрочитанное сообщение ProFTP » 2008-04-11 22:57:21

если порт 21 закрыт точно!! то почему они конектяться?

про динамические порты я нифига не нашел, как понять какой из них 21 порт? или как?

ProFTP
проходил мимо

Re: auth.log

Непрочитанное сообщение ProFTP » 2008-04-12 23:26:59

Код: Выделить всё

Apr  2 02:37:52 thedj sshd[72570]: Did not receive identification string from 88.218.97.19                                                                   
Apr  2 03:43:49 thedj sshd[73781]: login_getclass: unknown class 'root'                                                                                      
Apr  2 03:43:50 thedj sshd[73781]: Received disconnect from 88.218.97.19: 11: Bye Bye                                                                        
Apr  2 03:43:54 thedj sshd[73782]: Invalid user admin from 88.218.97.19                                                                                      
Apr  2 03:43:54 thedj sshd[73783]: input_userauth_request: invalid user admin                                                                                
Apr  2 03:43:55 thedj sshd[73784]: Invalid user test from 88.218.97.19                                                                                       
Apr  2 03:43:55 thedj sshd[73785]: input_userauth_request: invalid user test                                                                                 
Apr  2 03:43:56 thedj sshd[73786]: Invalid user guest from 88.218.97.19                                                                                      
Apr  2 03:43:56 thedj sshd[73787]: input_userauth_request: invalid user guest                                                                                
Apr  2 03:43:58 thedj sshd[73788]: Invalid user webmaster from 88.218.97.19                                                                                  
Apr  2 03:43:58 thedj sshd[73789]: input_userauth_request: invalid user webmaster                                                                            
Apr  2 03:43:59 thedj sshd[73791]: Received disconnect from 88.218.97.19: 11: Bye Bye                                                                        
Apr  2 03:44:00 thedj sshd[73792]: Invalid user oracle from 88.218.97.19                                                                                     
Apr  2 03:44:00 thedj sshd[73793]: input_userauth_request: invalid user oracle                                                                               
Apr  2 03:44:02 thedj sshd[73807]: Invalid user library from 88.218.97.19                                                                                    
Apr  2 03:44:02 thedj sshd[73808]: input_userauth_request: invalid user library                                                                              
Apr  2 03:44:03 thedj sshd[73809]: Invalid user info from 88.218.97.19                                                                                       
Apr  2 03:44:03 thedj sshd[73810]: input_userauth_request: invalid user info                                                                                 
Apr  2 03:44:04 thedj sshd[73811]: Invalid user shell from 88.218.97.19                                                                                      
Apr  2 03:44:04 thedj sshd[73812]: input_userauth_request: invalid user shell                                                                                
Apr  2 03:44:07 thedj sshd[73813]: Invalid user linux from 88.218.97.19                                                                                      
Apr  2 03:44:07 thedj sshd[73814]: input_userauth_request: invalid user linux                                                                                
Apr  2 03:44:08 thedj sshd[73815]: Invalid user t1na from 88.218.97.19                                                                                       
Apr  2 03:44:08 thedj sshd[73816]: input_userauth_request: invalid user t1na                                                                                 
Apr  2 03:44:09 thedj sshd[73817]: Invalid user t1na from 88.218.97.19                                                                                       
Apr  2 03:44:09 thedj sshd[73818]: input_userauth_request: invalid user t1na                                                                                 
Apr  2 03:44:14 thedj sshd[73819]: Invalid user logic from 88.218.97.19                                                                                      
Apr  2 03:44:14 thedj sshd[73820]: input_userauth_request: invalid user logic                                                                                
Apr  2 03:44:15 thedj sshd[73821]: Invalid user diablo from 88.218.97.19                                                                                     
Apr  2 03:44:15 thedj sshd[73822]: input_userauth_request: invalid user diablo                                                                               
Apr  2 03:44:16 thedj sshd[73823]: Invalid user b1ablo from 88.218.97.19                                                                                     
Apr  2 03:44:16 thedj sshd[73824]: input_userauth_request: invalid user b1ablo                                                                               
Apr  2 03:44:18 thedj sshd[73825]: Invalid user paradise from 88.218.97.19                                                                                   
Apr  2 03:44:18 thedj sshd[73826]: input_userauth_request: invalid user paradise                                                                             
Apr  2 03:44:19 thedj sshd[73828]: Invalid user paradisse from 88.218.97.19                                                                                  
Apr  2 03:44:19 thedj sshd[73829]: input_userauth_request: invalid user paradisse                                                                            
Apr  2 03:44:20 thedj sshd[73832]: Invalid user baggio from 88.218.97.19                       Apr  2 03:44:20 thedj sshd[73833]: input_userauth_request: invalid user baggio                                                                               
Apr  2 03:44:22 thedj sshd[73838]: Invalid user roberto from 88.218.97.19                                                                                    
Apr  2 03:44:22 thedj sshd[73839]: input_userauth_request: invalid user roberto                                                                              
Apr  2 03:44:23 thedj sshd[73840]: Invalid user kim from 88.218.97.19                                                                                        
Apr  2 03:44:23 thedj sshd[73841]: input_userauth_request: invalid user kim                                                                                  
Apr  2 03:44:25 thedj sshd[73842]: Invalid user space from 88.218.97.19                                                                                      
Apr  2 03:44:25 thedj sshd[73843]: input_userauth_request: invalid user space                                                                                
Apr  2 03:44:26 thedj sshd[73844]: Invalid user globe from 88.218.97.19                                                                                      
Apr  2 03:44:26 thedj sshd[73845]: input_userauth_request: invalid user globe                                                                                
Apr  2 03:44:27 thedj sshd[73846]: Invalid user oscar from 88.218.97.19                                                                                      
Apr  2 03:44:27 thedj sshd[73847]: input_userauth_request: invalid user oscar                                                                                
Apr  2 03:44:28 thedj sshd[73848]: Invalid user simbol from 88.218.97.19                                                                                     
Apr  2 03:44:28 thedj sshd[73849]: input_userauth_request: invalid user simbol                                                                               
Apr  2 03:44:30 thedj sshd[73854]: Invalid user addicted from 88.218.97.19                                                                                   
Apr  2 03:44:30 thedj sshd[73856]: input_userauth_request: invalid user addicted                                                                             
Apr  2 03:44:31 thedj sshd[73859]: Invalid user red from 88.218.97.19                                                                                        
Apr  2 03:44:31 thedj sshd[73860]: input_userauth_request: invalid user red                                                                                  
Apr  2 03:44:32 thedj sshd[73861]: Invalid user pink from 88.218.97.19                                                                                       
Apr  2 03:44:32 thedj sshd[73862]: input_userauth_request: invalid user pink                                                                                 
Apr  2 03:44:34 thedj sshd[73863]: Invalid user blue from 88.218.97.19                                                                                       
Apr  2 03:44:34 thedj sshd[73864]: input_userauth_request: invalid user blue                                                                                 
Apr  2 03:44:35 thedj sshd[73866]: login_getclass: unknown class 'root'                                                                                      
Apr  2 03:44:35 thedj sshd[73866]: Received disconnect from 88.218.97.19: 11: Bye Bye                                                                        
Apr  2 03:44:36 thedj sshd[73867]: Invalid user postgres from 88.218.97.19                                                                                   
Apr  2 03:44:36 thedj sshd[73868]: input_userauth_request: invalid user postgres                                                                             
Apr  2 03:44:38 thedj sshd[73869]: Invalid user accept from 88.218.97.19                                                                                     
Apr  2 03:44:38 thedj sshd[73870]: input_userauth_request: invalid user accept                                                                               
Apr  2 03:44:39 thedj sshd[73871]: Invalid user leo from 88.218.97.19                                                                                        
Apr  2 03:44:39 thedj sshd[73872]: input_userauth_request: invalid user leo                                                                                  
Apr  2 03:44:41 thedj sshd[73873]: Invalid user zeppelin from 88.218.97.19                                                                                   
Apr  2 03:44:41 thedj sshd[73874]: input_userauth_request: invalid user zeppelin                                                                             
Apr  2 03:44:42 thedj sshd[73875]: Invalid user hacker from 88.218.97.19                                                                                     
Apr  2 03:44:42 thedj sshd[73876]: input_userauth_request: invalid user hacker                                                                               
Apr  2 03:44:43 thedj sshd[73877]: Invalid user olga from 88.218.97.19                                                                                       
Apr  2 03:44:43 thedj sshd[73878]: input_userauth_request: invalid user olga                                                                                 
Apr  2 03:44:45 thedj sshd[73879]: Invalid user boris from 88.218.97.19                                                                                      
Apr  2 03:44:45 thedj sshd[73880]: input_userauth_request: invalid user boris                                                                                
Apr  2 03:44:46 thedj sshd[73881]: Invalid user mathew from 88.218.97.19                                                                                     
Apr  2 03:44:46 thedj sshd[73882]: input_userauth_request: invalid user mathew                                                                               
Apr  2 03:44:47 thedj sshd[73883]: Invalid user testing from 88.218.97.19                     Apr  2 03:44:47 thedj sshd[73884]: input_userauth_request: invalid user testing                                                                              
Apr  2 03:44:49 thedj sshd[73885]: Invalid user galaxy from 88.218.97.19                                                                                     
Apr  2 03:44:49 thedj sshd[73886]: input_userauth_request: invalid user galaxy                                                                               
Apr  2 03:44:50 thedj sshd[73887]: Invalid user mail from 88.218.97.19                                                                                       
Apr  2 03:44:50 thedj sshd[73888]: input_userauth_request: invalid user mail                                                                                 
Apr  2 03:44:51 thedj sshd[73889]: Invalid user venice from 88.218.97.19                                                                                     
Apr  2 03:44:51 thedj sshd[73890]: input_userauth_request: invalid user venice                                                                               
Apr  2 03:44:53 thedj sshd[73891]: Invalid user user3 from 88.218.97.19                                                                                      
Apr  2 03:44:53 thedj sshd[73892]: input_userauth_request: invalid user user3                                                                                
Apr  2 03:44:54 thedj sshd[73893]: Invalid user sa from 88.218.97.19                                                                                         
Apr  2 03:44:54 thedj sshd[73894]: input_userauth_request: invalid user sa                                                                                   
Apr  2 03:44:55 thedj sshd[73895]: Invalid user acer from 88.218.97.19                                                                                       
Apr  2 03:44:55 thedj sshd[73896]: input_userauth_request: invalid user acer                                                                                 
Apr  2 03:44:56 thedj sshd[73897]: Invalid user angus from 88.218.97.19                                                                                      
Apr  2 03:44:56 thedj sshd[73898]: input_userauth_request: invalid user angus                                                                                
Apr  2 03:44:58 thedj sshd[73899]: Invalid user mars from 88.218.97.19                                                                                       
Apr  2 03:44:58 thedj sshd[73900]: input_userauth_request: invalid user mars                                                                                 
Apr  2 03:44:59 thedj sshd[73901]: Invalid user cruz from 88.218.97.19                                                                                       
Apr  2 03:44:59 thedj sshd[73902]: input_userauth_request: invalid user cruz                                                                                 
Apr  2 03:45:00 thedj sshd[73903]: Invalid user danny from 88.218.97.19                                                                                      
Apr  2 03:45:00 thedj sshd[73907]: input_userauth_request: invalid user danny                                                                                
Apr  2 03:45:02 thedj sshd[73908]: Invalid user george from 88.218.97.19                                                                                     
Apr  2 03:45:02 thedj sshd[73909]: input_userauth_request: invalid user george                                                                               
Apr  2 03:45:03 thedj sshd[73910]: Invalid user georgel from 88.218.97.19                                                                                    
Apr  2 03:45:03 thedj sshd[73911]: input_userauth_request: invalid user georgel                                                                              
Apr  2 03:45:04 thedj sshd[73912]: Invalid user eggdrop from 88.218.97.19                                                                                    
Apr  2 03:45:04 thedj sshd[73913]: input_userauth_request: invalid user eggdrop   

я не понял, порт закрыт 21, почему к нету конектяться????

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: auth.log

Непрочитанное сообщение freeman » 2008-04-13 0:40:41

ProFTP писал(а):
я не понял, порт закрыт 21, почему к нету конектяться????
А я не понял с каких пор sshd на 21м порту стал запросы принимать ?
Может и ник такой, что всё вокруг ftp портов мысли крутятся. :D
Кстати сам когда то давно получал

Код: Выделить всё

Address (ip)  maps to (dns), but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Так и не понял как оно по русски переводится и что означает :?
Остатся должен только один ...

ProFTP
проходил мимо

Re: auth.log

Непрочитанное сообщение ProFTP » 2008-04-13 0:43:41

я имел ввиду 22

почему так скажите кто-то? где я перепутал?

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: auth.log

Непрочитанное сообщение freeman » 2008-04-13 0:48:24

ProFTP писал(а):я имел ввиду 22

почему так скажите кто-то? где я перепутал?
А ты для начала проверь что закрыт. Извне telnet ip_твоего_сервера 22 .
Когда точно увидишь что открыт он на самом деле, настройки фаервола смотри. Им же закрыть пытался ?
Остатся должен только один ...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: auth.log

Непрочитанное сообщение ProFTP » 2008-04-13 1:55:30

так где у меня комп, там сидит злой админ исход возможно закрыт

в другом месте я посмотрел - закрыто, там тоже возможно исход был закрыт

где есть веб морда, где из вне посмотреть?
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: auth.log

Непрочитанное сообщение freeman » 2008-04-13 10:22:06

На данный момент закрыт он у тебя. Может с 2го апреля что то изменилось (открыт был только раньше) или не для всех он закрыт ?
Остатся должен только один ...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: auth.log

Непрочитанное сообщение ProFTP » 2008-04-13 17:06:57

большое спасибо!!

я нешел в интернете файл hosts.deny очень большой паре метров, поставил его себе, сейчас прекратились переботы по ssh и FTP тоже...

http://anilkumar.myftp.org/hosts.deny


возможно был открыт, хотя врядли я не открывал его...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение