Página 1 de 8 123456 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Aquini
    Boa tarde companheiros...

    Venho por meio desta, alertar (ou pelo menos tentar) aos usuários sobre uma atividade que venho observando em alguns dos meus servers desde o final de setembro.
    Comecei a perceber uma quantidade enorme de tentativas de logins via SSH em dois servidores que administro, vindos de endereços distintos dos quatro cantos do globo. (tentativas tão obstinadas que chegavam a sobrecarregar os hosts, degradando a suas performances durante os ataques)
    Embora (aparentemente) nenhuma das tentativas tenha logrado êxito, geraram uma enorme dor de cabeça, prejudicando vários usuários dos serviços daqueles hosts.
    É óbvio que reforcei meu perímetro, incrementanto regras no snort, restringindo mais as políticas de logins nos servers, analisando os reports do tripware (atitudes reativas normais) e é claro, tentei descobrir por alto de onde partiam tais ataques... Eis a minha lista:
    [list]64.29.19.145 - nerjaweb - Espanha
    61.237.240.19 - China RailWay Telecomm - Pequim
    61.221.182.173 - unalis.com.tw
    61.100.185.202 - GNC-IDC Enterprisenet - SEOUL - KOREA
    212.14.253.236 - Palestine Telecomm - Palestina
    203.95.1.22 - STN-CN - Shangai - China
    64.109.111.229 - ameritech.net - dsl ISP - USA
    66.88.13.142 - unknow address[/list:u]

    China, Korea, Taywan, USA, Espanha, Palestina... todos de provedores dsl, ou de grandes corporações...

    Verifiquem também seus hosts...

    vejam um extrato dos meus logs:
    Código :
    Sep 28 18:10:15 abutre sshd[3222]: Illegal user test from 61.221.182.173
    Sep 28 18:10:18 abutre sshd[3224]: Illegal user guest from 61.221.182.173
    Sep 28 18:10:25 abutre sshd[3226]: Illegal user admin from 61.221.182.173
    Sep 28 18:10:28 abutre sshd[3228]: Illegal user admin from 61.221.182.173
    Sep 28 18:10:31 abutre sshd[3230]: Illegal user user from 61.221.182.173
    Sep 28 18:10:37 abutre sshd[3232]: Failed password for root from 61.221.182.173 port 61255 ssh2
    Sep 28 18:10:42 abutre sshd[3234]: Failed password for root from 61.221.182.173 port 60059 ssh2
    Sep 28 18:10:51 abutre sshd[3236]: Failed password for root from 61.221.182.173 port 57343 ssh2

    T+

  2. Cara estou tendo e mesmo problema

    user: test,tester,nini, brooke,bill,jim,cody,sales,personal,billy,josh,life
    origens: korea, czechoslovakia, china, brasil...
    alguns ip: 128.30.92.49, 203.193.14.26,63.105.206.197

    o ip 128.30.92.49 é do MIT (viper.csail.mit.edu)

    To comecando a ficar preocupando... Vc tem alguma ideio o q é isso???

    [] Dotta :twisted:



  3. #3
    epf
    como que eu faco para ver esses logs de tentativas de conexao?

  4. #4
    tail -f /var/log/messages | grep sshd



  5. Pessoal, vou dar um chute.

    Como podem notar os caras tentaram vários usernames pra tentarem entrar, o que pode ser um ataque de Brute Force, feito por algum software que pega uma lista de caracteres, números e letras e vai tentando logar uma a uma até conseguir descobrir a correta.






Tópicos Similares

  1. Respostas: 14
    Último Post: 13-12-2015, 15:53
  2. Respostas: 1
    Último Post: 06-12-2015, 09:39
  3. Ataque de spammer no Postfix . Help!
    Por fabiovb no fórum Servidores de Rede
    Respostas: 5
    Último Post: 21-11-2004, 22:39
  4. Alerta por E-mail no inicio de uma sessão SSH
    Por daniell no fórum Servidores de Rede
    Respostas: 2
    Último Post: 28-05-2004, 07:15
  5. Scan de Sistema no Suse 9.0
    Por Abutre no fórum Servidores de Rede
    Respostas: 0
    Último Post: 22-10-2003, 16:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L