Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    fpmazzi
    Visitante

    Padrão o que é isto?

    Sep 30 05:55:57 ferrari sshd(pam_unix)[4355]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:02 ferrari sshd(pam_unix)[4357]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:08 ferrari sshd(pam_unix)[4359]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:13 ferrari sshd(pam_unix)[4361]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:18 ferrari sshd(pam_unix)[4363]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root
    Sep 30 05:56:23 ferrari sshd(pam_unix)[4365]: authentication failure; logname= uid=0 euid=0 tty=NODEVssh ruser= rhost=148.208.213.1 user=root


    pessoal é impressão minha ou estão tentando conectar no meu servidor?

  2. #2
    rato16br
    Visitante

    Padrão o que é isto?

    Nao e impressao nao companheiro, estao tentando acesso ao seu micro utilizando o ssh. Aconselho a vc para diminuir esse risco alterar a porta para conexao.


    Espero ter ajudado



  3. #3
    fpmazzi
    Visitante

    Padrão o que é isto?

    valew brow, tem como sabe donde vem esse ip?

    fora a porta, tem alguma outra dica?

    Grato.... 6)

  4. #4

    Padrão o que é isto?

    Citação Postado originalmente por fpmazzi
    valew brow, tem como sabe donde vem esse ip?

    fora a porta, tem alguma outra dica?

    Grato.... 6)
    roda ae:

    [[email protected] ~]# whois 148.208.213.1

    existem muitos bots que ficam fazeno varredura na internet a procura de servidores ssh e tentam acessá-los com brute force.....utilizando usuarios e senhas mais comum... se deixer o ssh habiltiado na porta default o que vc vai ver é este tipo de cosisa..todos os dias...



  5. #5
    fpmazzi
    Visitante

    Padrão o que é isto?

    Citação Postado originalmente por PiTsA
    Citação Postado originalmente por fpmazzi
    valew brow, tem como sabe donde vem esse ip?

    fora a porta, tem alguma outra dica?

    Grato.... 6)
    roda ae:

    [[email protected] ~]# whois 148.208.213.1

    existem muitos bots que ficam fazeno varredura na internet a procura de servidores ssh e tentam acessá-los com brute force.....utilizando usuarios e senhas mais comum... se deixer o ssh habiltiado na porta default o que vc vai ver é este tipo de cosisa..todos os dias...
    @migo ja alterei a porta, digitei o comando que voce me disse e olha o que apareceu:

    ]# whois 148.208.213.1
    [Consulta whois.arin.net]
    [Redirecionado para whois.lacnic.net]
    [Consulta whois.lacnic.net]
    [whois.lacnic.net]

    % Joint Whois - whois.lacnic.net
    % This server accepts single ASN, IPv4 or IPv6 queries


    % Copyright LACNIC lacnic.net
    % The data below is provided for information purposes
    % and to assist persons in obtaining information about or
    % related to AS and IP numbers registrations
    % By submitting a whois query, you agree to use this data
    % only for lawful purposes.
    % 2005-09-30 11:51:51 (BRT -03:00)

    inetnum: 148.208/16
    status: reallocated
    owner: Secretaria de Educacion e Investigacion Tecnologic
    ownerid: MX-SEIT1-LACNIC
    address: Argentina No. 68 Col. Centro
    address: Cd. de Mexico, Distrito Federal
    country: MX
    owner-c: EC1018-ARIN
    inetrev: 148.208/16
    nserver: NS.RTN.NET.MX
    nsstat: 20050929 AA
    nslastaa: 20050929
    nserver: NS2.RTN.NET.MX [lame - not published]
    nsstat: 20050929 UDN
    nslastaa: 20050614
    created: 19990903
    changed: 20000411
    inetnum-up: 148.208/12
    source: ARIN-LACNIC-TRANSITION

    nic-hdl: EC1018-ARIN
    person: Esoj Carrasco
    e-mail: [email protected]
    address: Secretaria de Educacion e Investigacion Tecnologic
    country: US
    phone: +52 5 624 28 00
    source: ARIN-LACNIC-TRANSITION

    % whois.lacnic.net accepts only direct match queries.
    % Types of queries are: POCs, ownerid, CIDR blocks, IP
    % and AS numbers.

    Pode ser tentativa de invasao mesmo ...

  6. #6

    Padrão o que é isto?

    cara, muda a porta do ssh para uma outra e/ou bloqueia o acesso para redes de paises estranhos ( tipo a argentina...huahuahuaha), e de preferencia instale um snort+guardian da vida, também tem o ossec hids, do lendário sinistrow, o Daniel Cid daqui do underlinux, pra vc ter uma melhor protecao contra este tipo de ataque..... de qualquer forma, olhar os logas de tempos em tempos também ajuda bastante...