fui invadido??

mcyberx · 28-10-2004, 23:57

pessoal, estou colocando meus logs do /var/log/messages
gostaria de saber se o cara conseguiu entrar ou se é apenas uma tentativa.
também gostaria que vcs me desse uma dica do que devo fazer
obrigado a todos

Oct 24 04:59:44 firewall -- MARK --
Oct 24 05:18:50 firewall sshd[1044]: Did not receive identification string from 221.11.1.72
Oct 24 05:26:09 firewall sshd[1045]: Failed password for nobody from 221.11.1.72 port 39580 ssh2
Oct 24 05:26:10 firewall sshd[1045]: Received disconnect from 221.11.1.72: 11: Bye Bye
Oct 24 05:26:14 firewall sshd[1046]: input_userauth_request: illegal user patrick
Oct 24 05:26:14 firewall sshd[1046]: Failed password for illegal user patrick from 221.11.1.72 port 42666 ssh2
Oct 24 05:26:15 firewall sshd[1046]: Received disconnect from 221.11.1.72: 11: Bye Bye

Oct 24 05:27:01 firewall sshd[1054]: input_userauth_request: illegal user iceuser
Oct 24 05:27:01 firewall sshd[1054]: Failed password for illegal user iceuser from 221.11.1.72 port 57459 ssh2
Oct 24 05:27:01 firewall sshd[1054]: Received disconnect from 221.11.1.72: 11: Bye Bye

garupeiro · 29-10-2004, 00:09

pelo visto ele tentou mas nao consigiu

vc ja tentou localiza da onde vem esse ip???

so pra vc sabe ele da resposta apos o ping traceroute e etc!!!!

mcyberx · 29-10-2004, 01:05

Olá amigo,

dá sim: traceroute e ping

vc sabe se o ssh tem algum problema de segurança ou posso ficar tranquilo.
sabe como faço para bloquear o ssh somente deste IP?

obrigado

mcyberx · 29-10-2004, 01:08

segue resultado do traceroute:

1 10.0.0.1 (10.0.0.1) 0.456 ms 0.289 ms 0.206 ms
2 200-158-120-129.dsl.telesp.net.br (200.158.120.129) 0.898 ms 0.842 ms 0.783 ms
3 200-158-121-1.dsl.telesp.net.br (200.158.121.1) 31.412 ms 32.983 ms 33.649 ms
4 ATM-9-0-0-2-br-cas-ce-rc2.bbone.telesp.net.br (200.207.254.5) 32.527 ms 34.956 ms 29.941 ms
5 FastEthernet-2-0-0-br-cas-ce-rc1.bbone.telesp.net.br (200.207.240.1) 32.740 ms 32.017 ms 26.483 ms
6 200-204-20-221.dsl.telesp.net.br (200.204.20.221) 33.465 ms 38.320 ms 33.380 ms
7 200-148-160-169.bbone.tdatabrasil.net.br (200.148.160.169) 39.405 ms 38.601 ms 33.145 ms
8 P-9-2-br-spo-co-tg1.bbone.tdatabrasil.net.br (200.153.4.206) 43.845 ms 36.964 ms 40.039 ms
9 So5-0-0-0-grtsaoco1.red.telefonica-wholesale.net (213.140.51.109) 40.115 ms 38.401 ms 39.508 ms
10 So3-1-3-0-grtmiabr2.red.telefonica-wholesale.net (213.140.37.137) 143.929 ms 161.866 ms 144.268 ms
11 So0-2-0-0-grtmiana1.red.telefonica-wholesale.net (213.140.37.193) 150.015 ms So3-3-2-0-grtmiana2.red.telefonica-wholesale.net (213.140.38.221) 143.248 ms So0-2-0-0-grtmiana1.red.telefonica-wholesale.net (213.140.37.193) 149.541 ms
12 GE5-1-0-0-grtmiana2.red.telefonica-wholesale.net (213.140.38.182) 152.585 ms savvis-3-3-3-0-grtmiana2.red.telefonica-wholesale.net (213.140.52.90) 147.629 ms GE5-1-0-0-grtmiana2.red.telefonica-wholesale.net (213.140.38.182) 149.935 ms
13 acr2-so-6-0-0.Miami.savvis.net (208.172.99.85) 148.411 ms 142.865 ms savvis-3-3-3-0-grtmiana2.red.telefonica-wholesale.net (213.140.52.90) 149.515 ms
14 dcr1-loopback.SanFranciscosfo.savvis.net (206.24.210.99) 217.153 ms acr2-so-6-0-0.Miami.savvis.net (208.172.99.85) 144.361 ms 147.860 ms
15 kar2-ge-0-0-0.SanFranciscosfo.savvis.net (206.24.211.14) 214.581 ms dcr1-loopback.SanFranciscosfo.savvis.net (206.24.210.99) 214.957 ms kar2-ge-0-0-0.SanFranciscosfo.savvis.net (206.24.211.14) 216.600 ms
16 china-network-communication.SanFranciscosfo.savvis.net (206.24.209.238) 623.486 ms kar2-ge-0-0-0.SanFranciscosfo.savvis.net (206.24.211.14) 211.819 ms *
17 china-network-communication.SanFranciscosfo.savvis.net (206.24.209.238) 616.993 ms 631.990 ms 219.158.3.29 (219.158.3.29) 620.824 ms
18 219.158.3.29 (219.158.3.29) 615.493 ms 219.158.5.14 (219.158.5.14) 611.246 ms *
19 219.158.6.94 (219.158.6.94) 645.072 ms 219.158.5.14 (219.158.5.14) 619.962 ms 219.158.6.94 (219.158.6.94) 641.900 ms
20 221.11.0.146 (221.11.0.146) 622.967 ms 219.158.6.94 (219.158.6.94) 582.322 ms *
21 221.11.0.146 (221.11.0.146) 623.947 ms 620.456 ms 221.11.0.86 (221.11.0.86) 638.639 ms
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *

**irado** · 29-10-2004, 06:41

dig -x 221.11.1.72

encontrado o endereço como pertencente ao apnic.net que é similar ao nosso registro.br. Indo à página (http://www.apnic.net) vc pode usar o whois dêles, encontrando então:

inetnum: 221.11.0.0 - 221.11.127.255
netname: CNCGROUP-SN
descr: CNC Group Shannxi province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN
admin-c: CH455-AP
tech-c: CH455-AP
remarks: service provider
changed: [email protected] 20030121
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-SN
status: ALLOCATED PORTABLE
source: APNIC

[..snip..]

que é, possivelmente, um provedor, na china. Dificilmente vão tomar alguma providencia, mas em todo caso, vc pode reclamar.

nota: em linha de comando vc pode usar:

whois apnic 221.11.1.72

com o mesmo resultado

boa sorte

parrala · 29-10-2004, 08:00

Caro amigo se vc não utiliza o serviço de ssh para acesso externo vc pode bloquealo utilizando host.denny e host.allow, assim poderia ficar mais tranquilo.

pastorArnaldo · 04-11-2004, 22:53

ja tive o mesmo problema e observei que quando o pessoal acessa a internet por ip mascarado , em determinados sites de "orelhas" femininas, o site inicia este tipo de ataque automaticamente

A solução que eu adotei é a seguinte , faço a maquina conectar primeiro por uma coneção pptp e depois uso o ssh

fui invadido??

Ferramentas de Tópicos

fui invadido??

fui invadido??

Re: fui invadido??

Re: fui invadido??

use dig + whois

fui invadido??

fui invadido??