Страница 1 из 1
auth.log
Добавлено: 2008-03-22 11:25:33
kapka
Код: Выделить всё
Mar 21 17:49:39 srv sshd[40435]: Invalid user admin from 201.88.73.66
Mar 21 17:49:44 srv sshd[40437]: Address 201.88.73.66 maps to correio.fastburger.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:49:49 srv sshd[40439]: Address 201.88.73.66 maps to correio.goodfood.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:49:49 srv sshd[40439]: Invalid user stud from 201.88.73.66
Mar 21 17:49:55 srv sshd[40441]: Address 201.88.73.66 maps to correio.estacaoburger.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:49:55 srv sshd[40441]: Invalid user trash from 201.88.73.66
Mar 21 17:50:00 srv sshd[40444]: Address 201.88.73.66 maps to correio.kingfood.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:00 srv sshd[40444]: Invalid user aaron from 201.88.73.66
Mar 21 17:50:04 srv sshd[40449]: reverse mapping checking getaddrinfo for correio.burgerkingcentrosul.com.br [201.88.73.66] failed - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:04 srv sshd[40449]: Invalid user gt05 from 201.88.73.66
Mar 21 17:50:09 srv sshd[40451]: Address 201.88.73.66 maps to correio.fastburger.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:09 srv sshd[40451]: Invalid user william from 201.88.73.66
Mar 21 17:50:14 srv sshd[40453]: Address 201.88.73.66 maps to correio.goodfood.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:14 srv sshd[40453]: Invalid user stephanie from 201.88.73.66
Mar 21 17:50:19 srv sshd[40456]: Address 201.88.73.66 maps to correio.estacaoburger.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:24 srv sshd[40458]: Address 201.88.73.66 maps to correio.kingfood.com.br, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Mar 21 17:50:33 srv sshd[40460]: reverse mapping checking getaddrinfo for correio.burgerkingcentrosul.com.br [201.88.73.66] failed - POSSIBLE BREAK-IN ATTEMPT!
Это небольшой фрагмент из auth.log. Кто-то интенсивно пытается подобрать логин по ssh, логи по часам растут. Умею только файрволом IP закрыть, но это явно не выход, он есть разный. Как профи в таких случаях поступают?
Re: auth.log
Добавлено: 2008-03-22 12:37:40
polvo
Погугли fail2ban
Re: auth.log
Добавлено: 2008-03-22 12:48:13
toughcat
Например
sshit
Вообще в /usr/ports/security много по этой теме
Re: auth.log
Добавлено: 2008-03-22 15:33:50
dikens3
Как профи в таких случаях поступают?
1. Перевесить на другой порт (т.е убрать с 22-го). Как правило боты больше не ломятся.
2. Настроить
knock.
Re: auth.log
Добавлено: 2008-04-10 15:32:19
ProFTP
у меня закрыт 22, но я работаю через НАТ и у меня открыт к ISP все динамические порты
Код: Выделить всё
add allow ip from any 49151-65535 to any
add 270 allow ip from any to me 49151-65535
add 280 allow ip from me to any 49151-65535
это правильно или нет?
хотел спросить, где есть списко спам подсетей иди хостов?
Re: auth.log
Добавлено: 2008-04-10 15:33:24
ProFTP
как понять какой из них 53 и 21 и 80?
если данмические порты закрыть то 53 и 21 работаеть не будут
Re: auth.log
Добавлено: 2008-04-10 16:59:10
Morty
ProFTP писал(а):у меня закрыт 22, но я работаю через НАТ и у меня открыт к ISP все динамические порты
Код: Выделить всё
хотел спросить, где есть списко спам подсетей иди хостов?[/quote]
хз можети такого и нет, можно конечно попробовать всех попросить выложить
свои блоки для экзима, фаера,(то что для хостов) а потом это дело объеденить ггг :idea:
может из этого что хорошее и получиться
Re: auth.log
Добавлено: 2008-04-10 17:53:15
ProFTP
а динамические порты безопастно открыть все?
Re: auth.log
Добавлено: 2008-04-11 22:57:21
ProFTP
если порт 21 закрыт точно!! то почему они конектяться?
про динамические порты я нифига не нашел, как понять какой из них 21 порт? или как?
Re: auth.log
Добавлено: 2008-04-12 23:26:59
ProFTP
Код: Выделить всё
Apr 2 02:37:52 thedj sshd[72570]: Did not receive identification string from 88.218.97.19
Apr 2 03:43:49 thedj sshd[73781]: login_getclass: unknown class 'root'
Apr 2 03:43:50 thedj sshd[73781]: Received disconnect from 88.218.97.19: 11: Bye Bye
Apr 2 03:43:54 thedj sshd[73782]: Invalid user admin from 88.218.97.19
Apr 2 03:43:54 thedj sshd[73783]: input_userauth_request: invalid user admin
Apr 2 03:43:55 thedj sshd[73784]: Invalid user test from 88.218.97.19
Apr 2 03:43:55 thedj sshd[73785]: input_userauth_request: invalid user test
Apr 2 03:43:56 thedj sshd[73786]: Invalid user guest from 88.218.97.19
Apr 2 03:43:56 thedj sshd[73787]: input_userauth_request: invalid user guest
Apr 2 03:43:58 thedj sshd[73788]: Invalid user webmaster from 88.218.97.19
Apr 2 03:43:58 thedj sshd[73789]: input_userauth_request: invalid user webmaster
Apr 2 03:43:59 thedj sshd[73791]: Received disconnect from 88.218.97.19: 11: Bye Bye
Apr 2 03:44:00 thedj sshd[73792]: Invalid user oracle from 88.218.97.19
Apr 2 03:44:00 thedj sshd[73793]: input_userauth_request: invalid user oracle
Apr 2 03:44:02 thedj sshd[73807]: Invalid user library from 88.218.97.19
Apr 2 03:44:02 thedj sshd[73808]: input_userauth_request: invalid user library
Apr 2 03:44:03 thedj sshd[73809]: Invalid user info from 88.218.97.19
Apr 2 03:44:03 thedj sshd[73810]: input_userauth_request: invalid user info
Apr 2 03:44:04 thedj sshd[73811]: Invalid user shell from 88.218.97.19
Apr 2 03:44:04 thedj sshd[73812]: input_userauth_request: invalid user shell
Apr 2 03:44:07 thedj sshd[73813]: Invalid user linux from 88.218.97.19
Apr 2 03:44:07 thedj sshd[73814]: input_userauth_request: invalid user linux
Apr 2 03:44:08 thedj sshd[73815]: Invalid user t1na from 88.218.97.19
Apr 2 03:44:08 thedj sshd[73816]: input_userauth_request: invalid user t1na
Apr 2 03:44:09 thedj sshd[73817]: Invalid user t1na from 88.218.97.19
Apr 2 03:44:09 thedj sshd[73818]: input_userauth_request: invalid user t1na
Apr 2 03:44:14 thedj sshd[73819]: Invalid user logic from 88.218.97.19
Apr 2 03:44:14 thedj sshd[73820]: input_userauth_request: invalid user logic
Apr 2 03:44:15 thedj sshd[73821]: Invalid user diablo from 88.218.97.19
Apr 2 03:44:15 thedj sshd[73822]: input_userauth_request: invalid user diablo
Apr 2 03:44:16 thedj sshd[73823]: Invalid user b1ablo from 88.218.97.19
Apr 2 03:44:16 thedj sshd[73824]: input_userauth_request: invalid user b1ablo
Apr 2 03:44:18 thedj sshd[73825]: Invalid user paradise from 88.218.97.19
Apr 2 03:44:18 thedj sshd[73826]: input_userauth_request: invalid user paradise
Apr 2 03:44:19 thedj sshd[73828]: Invalid user paradisse from 88.218.97.19
Apr 2 03:44:19 thedj sshd[73829]: input_userauth_request: invalid user paradisse
Apr 2 03:44:20 thedj sshd[73832]: Invalid user baggio from 88.218.97.19 Apr 2 03:44:20 thedj sshd[73833]: input_userauth_request: invalid user baggio
Apr 2 03:44:22 thedj sshd[73838]: Invalid user roberto from 88.218.97.19
Apr 2 03:44:22 thedj sshd[73839]: input_userauth_request: invalid user roberto
Apr 2 03:44:23 thedj sshd[73840]: Invalid user kim from 88.218.97.19
Apr 2 03:44:23 thedj sshd[73841]: input_userauth_request: invalid user kim
Apr 2 03:44:25 thedj sshd[73842]: Invalid user space from 88.218.97.19
Apr 2 03:44:25 thedj sshd[73843]: input_userauth_request: invalid user space
Apr 2 03:44:26 thedj sshd[73844]: Invalid user globe from 88.218.97.19
Apr 2 03:44:26 thedj sshd[73845]: input_userauth_request: invalid user globe
Apr 2 03:44:27 thedj sshd[73846]: Invalid user oscar from 88.218.97.19
Apr 2 03:44:27 thedj sshd[73847]: input_userauth_request: invalid user oscar
Apr 2 03:44:28 thedj sshd[73848]: Invalid user simbol from 88.218.97.19
Apr 2 03:44:28 thedj sshd[73849]: input_userauth_request: invalid user simbol
Apr 2 03:44:30 thedj sshd[73854]: Invalid user addicted from 88.218.97.19
Apr 2 03:44:30 thedj sshd[73856]: input_userauth_request: invalid user addicted
Apr 2 03:44:31 thedj sshd[73859]: Invalid user red from 88.218.97.19
Apr 2 03:44:31 thedj sshd[73860]: input_userauth_request: invalid user red
Apr 2 03:44:32 thedj sshd[73861]: Invalid user pink from 88.218.97.19
Apr 2 03:44:32 thedj sshd[73862]: input_userauth_request: invalid user pink
Apr 2 03:44:34 thedj sshd[73863]: Invalid user blue from 88.218.97.19
Apr 2 03:44:34 thedj sshd[73864]: input_userauth_request: invalid user blue
Apr 2 03:44:35 thedj sshd[73866]: login_getclass: unknown class 'root'
Apr 2 03:44:35 thedj sshd[73866]: Received disconnect from 88.218.97.19: 11: Bye Bye
Apr 2 03:44:36 thedj sshd[73867]: Invalid user postgres from 88.218.97.19
Apr 2 03:44:36 thedj sshd[73868]: input_userauth_request: invalid user postgres
Apr 2 03:44:38 thedj sshd[73869]: Invalid user accept from 88.218.97.19
Apr 2 03:44:38 thedj sshd[73870]: input_userauth_request: invalid user accept
Apr 2 03:44:39 thedj sshd[73871]: Invalid user leo from 88.218.97.19
Apr 2 03:44:39 thedj sshd[73872]: input_userauth_request: invalid user leo
Apr 2 03:44:41 thedj sshd[73873]: Invalid user zeppelin from 88.218.97.19
Apr 2 03:44:41 thedj sshd[73874]: input_userauth_request: invalid user zeppelin
Apr 2 03:44:42 thedj sshd[73875]: Invalid user hacker from 88.218.97.19
Apr 2 03:44:42 thedj sshd[73876]: input_userauth_request: invalid user hacker
Apr 2 03:44:43 thedj sshd[73877]: Invalid user olga from 88.218.97.19
Apr 2 03:44:43 thedj sshd[73878]: input_userauth_request: invalid user olga
Apr 2 03:44:45 thedj sshd[73879]: Invalid user boris from 88.218.97.19
Apr 2 03:44:45 thedj sshd[73880]: input_userauth_request: invalid user boris
Apr 2 03:44:46 thedj sshd[73881]: Invalid user mathew from 88.218.97.19
Apr 2 03:44:46 thedj sshd[73882]: input_userauth_request: invalid user mathew
Apr 2 03:44:47 thedj sshd[73883]: Invalid user testing from 88.218.97.19 Apr 2 03:44:47 thedj sshd[73884]: input_userauth_request: invalid user testing
Apr 2 03:44:49 thedj sshd[73885]: Invalid user galaxy from 88.218.97.19
Apr 2 03:44:49 thedj sshd[73886]: input_userauth_request: invalid user galaxy
Apr 2 03:44:50 thedj sshd[73887]: Invalid user mail from 88.218.97.19
Apr 2 03:44:50 thedj sshd[73888]: input_userauth_request: invalid user mail
Apr 2 03:44:51 thedj sshd[73889]: Invalid user venice from 88.218.97.19
Apr 2 03:44:51 thedj sshd[73890]: input_userauth_request: invalid user venice
Apr 2 03:44:53 thedj sshd[73891]: Invalid user user3 from 88.218.97.19
Apr 2 03:44:53 thedj sshd[73892]: input_userauth_request: invalid user user3
Apr 2 03:44:54 thedj sshd[73893]: Invalid user sa from 88.218.97.19
Apr 2 03:44:54 thedj sshd[73894]: input_userauth_request: invalid user sa
Apr 2 03:44:55 thedj sshd[73895]: Invalid user acer from 88.218.97.19
Apr 2 03:44:55 thedj sshd[73896]: input_userauth_request: invalid user acer
Apr 2 03:44:56 thedj sshd[73897]: Invalid user angus from 88.218.97.19
Apr 2 03:44:56 thedj sshd[73898]: input_userauth_request: invalid user angus
Apr 2 03:44:58 thedj sshd[73899]: Invalid user mars from 88.218.97.19
Apr 2 03:44:58 thedj sshd[73900]: input_userauth_request: invalid user mars
Apr 2 03:44:59 thedj sshd[73901]: Invalid user cruz from 88.218.97.19
Apr 2 03:44:59 thedj sshd[73902]: input_userauth_request: invalid user cruz
Apr 2 03:45:00 thedj sshd[73903]: Invalid user danny from 88.218.97.19
Apr 2 03:45:00 thedj sshd[73907]: input_userauth_request: invalid user danny
Apr 2 03:45:02 thedj sshd[73908]: Invalid user george from 88.218.97.19
Apr 2 03:45:02 thedj sshd[73909]: input_userauth_request: invalid user george
Apr 2 03:45:03 thedj sshd[73910]: Invalid user georgel from 88.218.97.19
Apr 2 03:45:03 thedj sshd[73911]: input_userauth_request: invalid user georgel
Apr 2 03:45:04 thedj sshd[73912]: Invalid user eggdrop from 88.218.97.19
Apr 2 03:45:04 thedj sshd[73913]: input_userauth_request: invalid user eggdrop
я не понял, порт закрыт 21, почему к нету конектяться????
Re: auth.log
Добавлено: 2008-04-13 0:40:41
freeman
ProFTP писал(а):
я не понял, порт закрыт 21, почему к нету конектяться????
А я не понял с каких пор sshd на 21м порту стал запросы принимать ?
Может и ник такой, что всё вокруг ftp портов мысли крутятся.
Кстати сам когда то давно получал
Код: Выделить всё
Address (ip) maps to (dns), but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Так и не понял как оно по русски переводится и что означает
Re: auth.log
Добавлено: 2008-04-13 0:43:41
ProFTP
я имел ввиду 22
почему так скажите кто-то? где я перепутал?
Re: auth.log
Добавлено: 2008-04-13 0:48:24
freeman
ProFTP писал(а):я имел ввиду 22
почему так скажите кто-то? где я перепутал?
А ты для начала проверь что закрыт. Извне telnet ip_твоего_сервера 22 .
Когда точно увидишь что открыт он на самом деле, настройки фаервола смотри. Им же закрыть пытался ?
Re: auth.log
Добавлено: 2008-04-13 1:55:30
ProFTP
так где у меня комп, там сидит злой админ исход возможно закрыт
в другом месте я посмотрел - закрыто, там тоже возможно исход был закрыт
где есть веб морда, где из вне посмотреть?
Re: auth.log
Добавлено: 2008-04-13 10:22:06
freeman
На данный момент закрыт он у тебя. Может с 2го апреля что то изменилось (открыт был только раньше) или не для всех он закрыт ?
Re: auth.log
Добавлено: 2008-04-13 17:06:57
ProFTP
большое спасибо!!
я нешел в интернете файл hosts.deny очень большой паре метров, поставил его себе, сейчас прекратились переботы по ssh и FTP тоже...
http://anilkumar.myftp.org/hosts.deny
возможно был открыт, хотя врядли я не открывал его...