Письмо от root

[Time]

Вот сегодня проверял почту и случаино наткнулся вот такои вот письмо

Код: Выделить всё

Checking setuid files and devices:

Checking for uids of 0:
root 0
toor 0

Checking for passwordless accounts:

inet.XXX.ru ipfw denied packets:
+++ /tmp/security.cY0Xl3Uh      Wed Feb 25 03:02:10 2009
+65535       1        219 deny ip from any to any

...........................................
далее идет список оборудования
...........................................
inet.XXX.ru login failures:
Feb 24 10:13:14 inet su: BAD SU time to root on /dev/ttyp2
Feb 24 17:48:06 inet sshd[3994]: Invalid user staff from 222.233.52.84
Feb 24 17:48:10 inet sshd[3996]: Invalid user sales from 222.233.52.84
Feb 24 17:48:14 inet sshd[3998]: Invalid user recruit from 222.233.52.84
Feb 24 17:48:18 inet sshd[4000]: Invalid user alias from 222.233.52.84
Feb 24 17:48:26 inet sshd[4004]: Invalid user samba from 222.233.52.84
Feb 24 17:48:30 inet sshd[4006]: Invalid user tomcat from 222.233.52.84
Feb 24 17:48:34 inet sshd[4008]: Invalid user webadmin from 222.233.52.84
Feb 24 17:48:38 inet sshd[4010]: Invalid user spam from 222.233.52.84
Feb 24 17:48:42 inet sshd[4012]: Invalid user virus from 222.233.52.84
Feb 24 17:48:50 inet sshd[4017]: Invalid user oracle from 222.233.52.84
Feb 24 17:48:54 inet sshd[4019]: Invalid user michael from 222.233.52.84
Feb 24 17:48:58 inet sshd[4021]: Invalid user ftp from 222.233.52.84
Feb 24 17:49:06 inet sshd[4025]: Invalid user webmaster from 222.233.52.84
Feb 24 17:49:10 inet sshd[4027]: Invalid user postmaster from 222.233.52.84
Feb 24 17:49:18 inet sshd[4031]: Invalid user postgres from 222.233.52.84
Feb 24 17:49:22 inet sshd[4033]: Invalid user paul from 222.233.52.84
Feb 24 17:49:30 inet sshd[4038]: Invalid user guest from 222.233.52.84
Feb 24 17:49:34 inet sshd[4040]: Invalid user admin from 222.233.52.84
Feb 24 17:49:38 inet sshd[4042]: Invalid user linux from 222.233.52.84
Feb 24 17:49:42 inet sshd[4044]: Invalid user user from 222.233.52.84
Feb 24 17:49:46 inet sshd[4046]: Invalid user david from 222.233.52.84
Feb 24 17:49:50 inet sshd[4048]: Invalid user web from 222.233.52.84
Feb 24 17:49:54 inet sshd[4050]: Invalid user apache from 222.233.52.84
Feb 24 17:49:59 inet sshd[4052]: Invalid user pgsql from 222.233.52.84
Feb 24 17:50:03 inet sshd[4055]: Invalid user mysql from 222.233.52.84
Feb 24 17:50:07 inet sshd[4072]: Invalid user info from 222.233.52.84
Feb 24 17:50:11 inet sshd[4074]: Invalid user tony from 222.233.52.84
Feb 24 17:50:15 inet sshd[4076]: Invalid user core from 222.233.52.84
Feb 24 17:50:19 inet sshd[4078]: Invalid user newsletter from 222.233.52.84
Feb 24 17:50:23 inet sshd[4080]: Invalid user named from 222.233.52.84
Feb 24 17:50:27 inet sshd[4082]: Invalid user visitor from 222.233.52.84
Feb 24 17:50:31 inet sshd[4084]: Invalid user ftpuser from 222.233.52.84
Feb 24 17:50:35 inet sshd[4087]: Invalid user username from 222.233.52.84
Feb 24 17:50:39 inet sshd[4090]: Invalid user administrator from 222.233.52.84
Feb 24 17:50:43 inet sshd[4093]: Invalid user library from 222.233.52.84
Feb 24 17:51:03 inet sshd[4102]: Invalid user admin from 222.233.52.84
Feb 24 17:51:07 inet sshd[4104]: Invalid user guest from 222.233.52.84
Feb 24 17:51:11 inet sshd[4106]: Invalid user master from 222.233.52.84
Feb 24 17:51:36 inet sshd[4123]: Invalid user admin from 222.233.52.84
Feb 24 17:51:40 inet sshd[4125]: Invalid user admin from 222.233.52.84
Feb 24 17:51:44 inet sshd[4128]: Invalid user admin from 222.233.52.84
Feb 24 17:51:49 inet sshd[4130]: Invalid user admin from 222.233.52.84
Feb 24 17:52:09 inet sshd[4140]: Invalid user webmaster from 222.233.52.84
Feb 24 17:52:13 inet sshd[4142]: Invalid user username from 222.233.52.84
Feb 24 17:52:17 inet sshd[4144]: Invalid user user from 222.233.52.84
Feb 24 17:52:25 inet sshd[4148]: Invalid user admin from 222.233.52.84
Feb 24 17:52:47 inet sshd[4158]: Invalid user danny from 222.233.52.84
Feb 24 17:52:51 inet sshd[4160]: Invalid user alex from 222.233.52.84
Feb 24 17:52:55 inet sshd[4162]: Invalid user brett from 222.233.52.84
Feb 24 17:52:59 inet sshd[4164]: Invalid user mike from 222.233.52.84
Feb 24 17:53:03 inet sshd[4166]: Invalid user alan from 222.233.52.84
Feb 24 17:53:07 inet sshd[4168]: Invalid user data from 222.233.52.84
Feb 24 17:53:11 inet sshd[4170]: Invalid user www-data from 222.233.52.84
Feb 24 17:53:15 inet sshd[4174]: Invalid user http from 222.233.52.84
Feb 24 17:53:19 inet sshd[4177]: Invalid user httpd from 222.233.52.84
Feb 24 17:53:35 inet sshd[4185]: Invalid user backup from 222.233.52.84
Feb 24 17:53:39 inet sshd[4187]: Invalid user info from 222.233.52.84
Feb 24 17:53:43 inet sshd[4189]: Invalid user shop from 222.233.52.84
Feb 24 17:53:47 inet sshd[4192]: Invalid user sales from 222.233.52.84
Feb 24 17:53:51 inet sshd[4194]: Invalid user web from 222.233.52.84
Feb 24 17:53:59 inet sshd[4198]: Invalid user wwwrun from 222.233.52.84
Feb 24 17:54:03 inet sshd[4200]: Invalid user adam from 222.233.52.84
Feb 24 17:54:07 inet sshd[4202]: Invalid user stephen from 222.233.52.84
Feb 24 17:54:11 inet sshd[4204]: Invalid user richard from 222.233.52.84
Feb 24 17:54:15 inet sshd[4206]: Invalid user george from 222.233.52.84
Feb 24 17:54:20 inet sshd[4208]: Invalid user john from 222.233.52.84
Feb 24 17:54:28 inet sshd[4212]: Invalid user angel from 222.233.52.84
Feb 24 17:54:36 inet sshd[4217]: Invalid user pgsql from 222.233.52.84
Feb 24 17:54:40 inet sshd[4219]: Invalid user mail from 222.233.52.84
Feb 24 17:54:44 inet sshd[4221]: Invalid user adm from 222.233.52.84
Feb 24 17:54:48 inet sshd[4223]: Invalid user ident from 222.233.52.84
Feb 24 17:54:52 inet sshd[4228]: Invalid user webpop from 222.233.52.84
Feb 24 17:54:56 inet sshd[4230]: Invalid user susan from 222.233.52.84
Feb 24 17:55:00 inet sshd[4232]: Invalid user sunny from 222.233.52.84
Feb 24 17:55:05 inet sshd[4263]: Invalid user steven from 222.233.52.84
Feb 24 17:55:09 inet sshd[4265]: Invalid user ssh from 222.233.52.84
Feb 24 17:55:13 inet sshd[4267]: Invalid user search from 222.233.52.84
Feb 24 17:55:17 inet sshd[4269]: Invalid user sara from 222.233.52.84
Feb 24 17:55:21 inet sshd[4271]: Invalid user robert from 222.233.52.84
Feb 24 17:55:25 inet sshd[4273]: Invalid user richard from 222.233.52.84
Feb 24 17:55:29 inet sshd[4275]: Invalid user party from 222.233.52.84
Feb 24 17:55:33 inet sshd[4278]: Invalid user amanda from 222.233.52.84
Feb 24 17:55:38 inet sshd[4280]: Invalid user rpm from 222.233.52.84
Feb 24 17:55:46 inet sshd[4285]: Invalid user sgi from 222.233.52.84
Feb 24 17:55:55 inet sshd[4296]: Invalid user users from 222.233.52.84
Feb 24 17:55:59 inet sshd[4298]: Invalid user admins from 222.233.52.84
Feb 24 17:56:03 inet sshd[4302]: Invalid user admins from 222.233.52.84
Feb 24 17:56:16 inet sshd[4315]: Invalid user lp from 222.233.52.84
Feb 24 17:56:21 inet sshd[4317]: Invalid user sync from 222.233.52.84
Feb 24 17:56:25 inet sshd[4319]: Invalid user shutdown from 222.233.52.84
Feb 24 17:56:29 inet sshd[4321]: Invalid user halt from 222.233.52.84
Feb 24 17:56:42 inet sshd[4328]: Invalid user dean from 222.233.52.84
Feb 24 17:56:46 inet sshd[4330]: Invalid user unknown from 222.233.52.84
Feb 24 17:56:50 inet sshd[4332]: Invalid user securityagent from 222.233.52.84
Feb 24 17:56:55 inet sshd[4335]: Invalid user tokend from 222.233.52.84
Feb 24 17:56:59 inet sshd[4338]: Invalid user windowserver from 222.233.52.84
Feb 24 17:57:03 inet sshd[4340]: Invalid user appowner from 222.233.52.84
Feb 24 17:57:07 inet sshd[4342]: Invalid user xgridagent from 222.233.52.84
Feb 24 17:57:12 inet sshd[4346]: Invalid user agent from 222.233.52.84
Feb 24 17:57:16 inet sshd[4350]: Invalid user xgridcontroller from 222.233.52.84
Feb 24 17:57:20 inet sshd[4352]: Invalid user jabber from 222.233.52.84
Feb 24 17:57:24 inet sshd[4358]: Invalid user amavisd from 222.233.52.84
Feb 24 17:57:29 inet sshd[4362]: Invalid user clamav from 222.233.52.84
Feb 24 17:57:33 inet sshd[4366]: Invalid user appserver from 222.233.52.84
Feb 24 17:57:37 inet sshd[4370]: Invalid user mailman from 222.233.52.84
Feb 24 17:57:41 inet sshd[4372]: Invalid user cyrusimap from 222.233.52.84
Feb 24 17:57:46 inet sshd[4374]: Invalid user qtss from 222.233.52.84
Feb 24 17:57:50 inet sshd[4376]: Invalid user eppc from 222.233.52.84
Feb 24 17:57:54 inet sshd[4378]: Invalid user telnetd from 222.233.52.84
Feb 24 17:57:58 inet sshd[4380]: Invalid user identd from 222.233.52.84
Feb 24 17:58:02 inet sshd[4382]: Invalid user gnats from 222.233.52.84
Feb 24 17:58:07 inet sshd[4384]: Invalid user jeff from 222.233.52.84
Feb 24 17:58:11 inet sshd[4386]: Invalid user irc from 222.233.52.84
Feb 24 17:58:15 inet sshd[4388]: Invalid user list from 222.233.52.84
Feb 24 17:58:20 inet sshd[4390]: Invalid user eleve from 222.233.52.84
Feb 24 17:58:28 inet sshd[4394]: Invalid user sys from 222.233.52.84
Feb 24 17:58:32 inet sshd[4396]: Invalid user zzz from 222.233.52.84
Feb 24 17:58:36 inet sshd[4398]: Invalid user frank from 222.233.52.84
Feb 24 17:58:40 inet sshd[4400]: Invalid user dan from 222.233.52.84
Feb 24 17:58:44 inet sshd[4402]: Invalid user james from 222.233.52.84
Feb 24 17:58:48 inet sshd[4406]: Invalid user snort from 222.233.52.84
Feb 24 17:58:52 inet sshd[4408]: Invalid user radiomail from 222.233.52.84
Feb 24 17:58:56 inet sshd[4410]: Invalid user harrypotter from 222.233.52.84
Feb 24 17:59:00 inet sshd[4412]: Invalid user divine from 222.233.52.84
Feb 24 17:59:04 inet sshd[4414]: Invalid user popa3d from 222.233.52.84
Feb 24 17:59:08 inet sshd[4416]: Invalid user aptproxy from 222.233.52.84
Feb 24 17:59:13 inet sshd[4418]: Invalid user desktop from 222.233.52.84
Feb 24 17:59:17 inet sshd[4420]: Invalid user workshop from 222.233.52.84
Feb 24 17:59:25 inet sshd[4425]: Invalid user nfsnobody from 222.233.52.84
Feb 24 17:59:29 inet sshd[4427]: Invalid user rpcuser from 222.233.52.84
Feb 24 17:59:33 inet sshd[4429]: Invalid user rpc from 222.233.52.84
Feb 24 17:59:37 inet sshd[4431]: Invalid user gopher from 222.233.52.84

inet.XXX.ru refused connections:

-- End of security output --

В это списке меня больше всего беспокоит оконцовка, это что кто то пытался подбирать логины и пасы к серваку?
И еще подскажите как можно мониторить фрюху на предмет того кто когда заломился на нее, с freebsd работаю не так давно просто.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

вообще, судя по-этому, логу, вот после этой строки

i

Код: Выделить всё

net.XXX.ru login failures:
Feb 24 10:13:14 inet su: BAD SU time to root on /dev/ttyp2
Feb 24 17:48:06 inet sshd[3994]: Invalid user staff from 222.233.52.84
Feb 24 17:48:10 inet sshd[3996]: Invalid user sales from 222.233.52.84

действительно кто-то пытался факнуть Вас в 22 порт, статья

http://www.lissyara.su/?id=1472

И еще подскажите как можно мониторить фрюху на предмет того кто когда заломился на нее, с freebsd работаю не так давно просто.

Код: Выделить всё

/var/log/auth.log

[Time]

да деиствительно судя по логам, кто то уже несколько днеи делает хек.

[Time]

а добавить это правило которое из статьи http://www.lissyara.su/?id=1472 "${FwCMD} add deny not icmp from “table(0)” to me"
у меня что то не получаеться в фаил "/etc/rc.firewall" при перезапуске фаервола выдает вот это и все:

Код: Выделить всё

etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Starting divert daemons:Flushed all rules.
00001 allow ip from any to any
Firewall rules loaded.
net.inet.ip.fw.enable: 0 -> 1

Код: Выделить всё

ipfw list
00001 allow ip from any to any
65535 deny ip from any to any

может можно его добавить др способом?

[Time]

извинтиляюсь фрюху не я настраивал, только сеичас разобрался что к чему. приведущии админ создал
отдельный фаил для правил, а я сижу думаю почему у меня правила не добовляюсться
в нем сеичас всего одно правило: "add 1 allow ip from any ti any" , осталось только воткнуть вот это "add deny not icmp from “table(0)” to me" как это сделать подскажите ?

Код: Выделить всё

/etc/rc.d/ipfw restart
net.inet.ip.fw.enable: 1 -> 0
Starting divert daemons:Flushed all rules.
00001 allow ip from any to any
Line 2: hostname ``"table(0)"'' unknown
Firewall rules loaded.
net.inet.ip.fw.enable: 0 -> 1
ipfw list
00001 allow ip from any to any
65535 deny ip from any to any

[zingel]

Код: Выделить всё

echo 'add deny log icmp from any to any' >> /etc/rc.firewall && /etc/netstart

хорошо, что у Вас не sh run | i bgp

[Time]

откуда береться эта таблица 1 "ipfw add deny ip from table(1) to any"
она не добовляеться в правила фаервола

[manefesto]

sshit её создает

[Time]

короче, если кто знает как добавить это правило командои или в фаил не в который по умолчанию используеться фаерволом...
приведущии сатрудник использовал отдельный фаил путь к которому прописал в rc.conf "firewall_type="/etc/friwiles" "
при добовлении в просто фаил этого правила "ipfw add deny ip from table(1) to any" он выдает ошибку и ни куда ни чего не записывает, от чего прога не срабатывет но в процесах висит

[zingel]

ядро пересобрать с default to accept или добавить строку в rc.conf

Код: Выделить всё

firewall_type="open"

[Time]

добавил в ядро опцию и не чего не зафурцчило
может кто еще знает ответ на мои вопрос, как добавить в фаил с правилами фаервола это правило.
еще раз повторюсь использовался не сам фаил справилами, а создавался отдельный в котором всего одно правило разрешать все, а это он не хочет добовлять
я уже готов отказаться от ipfw на pf , главное чтобы это работало это правило и остальные тоже

[terminus]

при добовлении в просто фаил этого правила "ipfw add deny ip from table(1) to any" он выдает ошибку и ни куда ни чего не записывает, от чего прога не срабатывет но в процесах висит

Права на файл как высталены?

Код: Выделить всё

ls -laso /etc/friwiles

Прога из-под кого работает?

Код: Выделить всё

ps auxw | grep sshit

?

[Time]

при добовлении в просто фаил этого правила "ipfw add deny ip from table(1) to any" он выдает ошибку и ни куда ни чего не записывает, от чего прога не срабатывет но в процесах висит

Права на файл как высталены?

Код: Выделить всё

ls -laso /etc/friwiles

2 -rw-r--r-- 1 root wheel - 150 3 мар 19:10 /etc/friwiles

Прога из-под кого работает?

Код: Выделить всё

ps auxw | grep sshit

root 1072 0,0 1,2 5044 3080 p1 RV 19:49 0:00,00 grep sshit (csh)

?

[terminus]

что-то я запутался. sshit он ведь не пишет правила в конфигурационный файл, а добавляет их на ходу.
У вас там что установлено в:

Код: Выделить всё

sysctl -a | grep kern.securelevel

[terminus]

попвтка номер два

"ipfw add deny ip from table(1) to any" он выдает ошибку и ни куда ни чего не записывает, от чего прога не срабатывет но в процесах висит

в файл добавлять надо

Код: Выделить всё

add deny ip from table(1) to any

[Time]

что-то я запутался. sshit он ведь не пишет правила в конфигурационный файл, а добавляет их на ходу.
У вас там что установлено в:

Код: Выделить всё

sysctl -a | grep kern.securelevel

Код: Выделить всё

kern.securelevel: -1

[Time]

попвтка номер два

"ipfw add deny ip from table(1) to any" он выдает ошибку и ни куда ни чего не записывает, от чего прога не срабатывет но в процесах висит

в файл добавлять надо

Код: Выделить всё

add deny ip from table(1) to any

я добавил, но правило не срабатывает