Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    mcyberx
    pessoal, estou colocando meus logs do /var/log/messages
    gostaria de saber se o cara conseguiu entrar ou se é apenas uma tentativa.
    também gostaria que vcs me desse uma dica do que devo fazer
    obrigado a todos

    Oct 24 04:59:44 firewall -- MARK --
    Oct 24 05:18:50 firewall sshd[1044]: Did not receive identification string from 221.11.1.72
    Oct 24 05:26:09 firewall sshd[1045]: Failed password for nobody from 221.11.1.72 port 39580 ssh2
    Oct 24 05:26:10 firewall sshd[1045]: Received disconnect from 221.11.1.72: 11: Bye Bye
    Oct 24 05:26:14 firewall sshd[1046]: input_userauth_request: illegal user patrick
    Oct 24 05:26:14 firewall sshd[1046]: Failed password for illegal user patrick from 221.11.1.72 port 42666 ssh2
    Oct 24 05:26:15 firewall sshd[1046]: Received disconnect from 221.11.1.72: 11: Bye Bye

    Oct 24 05:27:01 firewall sshd[1054]: input_userauth_request: illegal user iceuser
    Oct 24 05:27:01 firewall sshd[1054]: Failed password for illegal user iceuser from 221.11.1.72 port 57459 ssh2
    Oct 24 05:27:01 firewall sshd[1054]: Received disconnect from 221.11.1.72: 11: Bye Bye

  2. #2
    garupeiro
    pelo visto ele tentou mas nao consigiu

    vc ja tentou localiza da onde vem esse ip???

    so pra vc sabe ele da resposta apos o ping traceroute e etc!!!!



  3. #3
    mcyberx
    Olá amigo,

    dá sim: traceroute e ping

    vc sabe se o ssh tem algum problema de segurança ou posso ficar tranquilo.
    sabe como faço para bloquear o ssh somente deste IP?

    obrigado

  4. #4
    mcyberx
    segue resultado do traceroute:


    1 10.0.0.1 (10.0.0.1) 0.456 ms 0.289 ms 0.206 ms
    2 200-158-120-129.dsl.telesp.net.br (200.158.120.129) 0.898 ms 0.842 ms 0.783 ms
    3 200-158-121-1.dsl.telesp.net.br (200.158.121.1) 31.412 ms 32.983 ms 33.649 ms
    4 ATM-9-0-0-2-br-cas-ce-rc2.bbone.telesp.net.br (200.207.254.5) 32.527 ms 34.956 ms 29.941 ms
    5 FastEthernet-2-0-0-br-cas-ce-rc1.bbone.telesp.net.br (200.207.240.1) 32.740 ms 32.017 ms 26.483 ms
    6 200-204-20-221.dsl.telesp.net.br (200.204.20.221) 33.465 ms 38.320 ms 33.380 ms
    7 200-148-160-169.bbone.tdatabrasil.net.br (200.148.160.169) 39.405 ms 38.601 ms 33.145 ms
    8 P-9-2-br-spo-co-tg1.bbone.tdatabrasil.net.br (200.153.4.206) 43.845 ms 36.964 ms 40.039 ms
    9 So5-0-0-0-grtsaoco1.red.telefonica-wholesale.net (213.140.51.109) 40.115 ms 38.401 ms 39.508 ms
    10 So3-1-3-0-grtmiabr2.red.telefonica-wholesale.net (213.140.37.137) 143.929 ms 161.866 ms 144.268 ms
    11 So0-2-0-0-grtmiana1.red.telefonica-wholesale.net (213.140.37.193) 150.015 ms So3-3-2-0-grtmiana2.red.telefonica-wholesale.net (213.140.38.221) 143.248 ms So0-2-0-0-grtmiana1.red.telefonica-wholesale.net (213.140.37.193) 149.541 ms
    12 GE5-1-0-0-grtmiana2.red.telefonica-wholesale.net (213.140.38.182) 152.585 ms savvis-3-3-3-0-grtmiana2.red.telefonica-wholesale.net (213.140.52.90) 147.629 ms GE5-1-0-0-grtmiana2.red.telefonica-wholesale.net (213.140.38.182) 149.935 ms
    13 acr2-so-6-0-0.Miami.savvis.net (208.172.99.85) 148.411 ms 142.865 ms savvis-3-3-3-0-grtmiana2.red.telefonica-wholesale.net (213.140.52.90) 149.515 ms
    14 dcr1-loopback.SanFranciscosfo.savvis.net (206.24.210.99) 217.153 ms acr2-so-6-0-0.Miami.savvis.net (208.172.99.85) 144.361 ms 147.860 ms
    15 kar2-ge-0-0-0.SanFranciscosfo.savvis.net (206.24.211.14) 214.581 ms dcr1-loopback.SanFranciscosfo.savvis.net (206.24.210.99) 214.957 ms kar2-ge-0-0-0.SanFranciscosfo.savvis.net (206.24.211.14) 216.600 ms
    16 china-network-communication.SanFranciscosfo.savvis.net (206.24.209.238) 623.486 ms kar2-ge-0-0-0.SanFranciscosfo.savvis.net (206.24.211.14) 211.819 ms *
    17 china-network-communication.SanFranciscosfo.savvis.net (206.24.209.238) 616.993 ms 631.990 ms 219.158.3.29 (219.158.3.29) 620.824 ms
    18 219.158.3.29 (219.158.3.29) 615.493 ms 219.158.5.14 (219.158.5.14) 611.246 ms *
    19 219.158.6.94 (219.158.6.94) 645.072 ms 219.158.5.14 (219.158.5.14) 619.962 ms 219.158.6.94 (219.158.6.94) 641.900 ms
    20 221.11.0.146 (221.11.0.146) 622.967 ms 219.158.6.94 (219.158.6.94) 582.322 ms *
    21 221.11.0.146 (221.11.0.146) 623.947 ms 620.456 ms 221.11.0.86 (221.11.0.86) 638.639 ms
    22 * * *
    23 * * *
    24 * * *
    25 * * *
    26 * * *
    27 * * *
    28 * * *
    29 * * *
    30 * * *



  5. dig -x 221.11.1.72

    encontrado o endereço como pertencente ao apnic.net que é similar ao nosso registro.br. Indo à página (http://www.apnic.net) vc pode usar o whois dêles, encontrando então:

    inetnum: 221.11.0.0 - 221.11.127.255
    netname: CNCGROUP-SN
    descr: CNC Group Shannxi province network
    descr: China Network Communications Group Corporation
    descr: No.156,Fu-Xing-Men-Nei Street,
    descr: Beijing 100031
    country: CN
    admin-c: CH455-AP
    tech-c: CH455-AP
    remarks: service provider
    changed: hm-changed@apnic.net 20030121
    mnt-by: APNIC-HM
    mnt-lower: MAINT-CNCGROUP-SN
    status: ALLOCATED PORTABLE
    source: APNIC

    [..snip..]

    que é, possivelmente, um provedor, na china. Dificilmente vão tomar alguma providencia, mas em todo caso, vc pode reclamar.

    nota: em linha de comando vc pode usar:

    whois apnic 221.11.1.72

    com o mesmo resultado

    boa sorte






Tópicos Similares

  1. Fui invadido o que fazer?
    Por standart no fórum Segurança
    Respostas: 15
    Último Post: 14-02-2008, 00:03
  2. Acho que fui invadido
    Por Fukui no fórum Servidores de Rede
    Respostas: 1
    Último Post: 07-07-2006, 06:59
  3. Defacement - Fui Invadido !
    Por Nunes no fórum Segurança
    Respostas: 7
    Último Post: 19-12-2004, 17:36
  4. Respostas: 20
    Último Post: 12-09-2004, 07:59
  5. Fui Invadido!!! Quero prender o cara!!!
    Por Rodrigo Brim no fórum Segurança
    Respostas: 19
    Último Post: 13-07-2004, 09:17

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L