Master-X
Форум | Новости | Статьи
Главная » Форум » Хостинги / Домены / Железо » 
Тема: Это взлом?
цитата
29/07/15 в 17:49
 DanilBD
Привет ребята. Заметил в /var/log/secure

Цитата:

Jul 26 04:32:38 ns3291907 sshd[29618]: reverse mapping checking getaddrinfo for burikovs.example.com [82.146.45.56] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 26 04:32:38 ns3291907 sshd[29618]: Invalid user postgres from 82.146.45.56
Jul 26 04:32:38 ns3291907 sshd[29619]: input_userauth_request: invalid user postgres
Jul 26 04:32:38 ns3291907 sshd[29618]: pam_unix(sshd:auth): check pass; user unknown
Jul 26 04:32:38 ns3291907 sshd[29618]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.146.45.56

Jul 27 08:30:04 ns3291907 sshd[21176]: Did not receive identification string from 41.161.72.74
Jul 27 08:34:41 ns3291907 sshd[21349]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=68-170-54-60.mammothnetworks.com user=root
Jul 27 08:34:43 ns3291907 sshd[21349]: Failed password for root from 68.170.54.60 port 38714 ssh2
Jul 27 08:34:43 ns3291907 sshd[21350]: Connection closed by 68.170.54.60
Jul 27 09:08:54 ns3291907 sshd[25333]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=103.40.67.48 user=root
Jul 27 09:08:57 ns3291907 sshd[25333]: Failed password for root from 103.40.67.48 port 36452 ssh2
Jul 27 09:08:57 ns3291907 sshd[25334]: Connection closed by 103.40.67.48
Jul 27 09:34:53 ns3291907 sshd[27991]: reverse mapping checking getaddrinfo for burikovs.example.com [82.146.45.56] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 27 09:34:53 ns3291907 sshd[27991]: Invalid user user3 from 82.146.45.56
Jul 27 09:34:53 ns3291907 sshd[27992]: input_userauth_request: invalid user user3
Jul 27 09:34:53 ns3291907 sshd[27991]: pam_unix(sshd:auth): check pass; user unknown
Jul 27 09:34:53 ns3291907 sshd[27991]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=82.146.45.56

Jul 28 19:06:54 ns3291907 sshd[21474]: Received disconnect from 119.48.248.77: 11: Bye Bye
Jul 28 19:06:58 ns3291907 sshd[21475]: reverse mapping checking getaddrinfo for 77.248.48.119.adsl-pool.jlccptt.net.cn [119.48.248.77] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 28 19:06:58 ns3291907 sshd[21475]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.48.248.77 user=admin
Jul 28 19:07:00 ns3291907 sshd[21475]: Failed password for admin from 119.48.248.77 port 37992 ssh2
Jul 28 19:07:00 ns3291907 sshd[21476]: Received disconnect from 119.48.248.77: 11: Bye Bye
Jul 28 19:07:04 ns3291907 sshd[21477]: reverse mapping checking getaddrinfo for 77.248.48.119.adsl-pool.jlccptt.net.cn [119.48.248.77] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 28 19:07:04 ns3291907 sshd[21477]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.48.248.77 user=admin
Jul 28 19:07:05 ns3291907 sshd[21477]: Failed password for admin from 119.48.248.77 port 39957 ssh2
Jul 28 19:07:06 ns3291907 sshd[21521]: Received disconnect from 119.48.248.77: 11: Bye Bye
Jul 28 19:07:09 ns3291907 sshd[21522]: reverse mapping checking getaddrinfo for 77.248.48.119.adsl-pool.jlccptt.net.cn [119.48.248.77] failed - POSSIBLE BREAK-IN ATTEMPT!
Jul 28 19:07:10 ns3291907 sshd[21522]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=119.48.248.77 user=admin
Jul 28 19:07:12 ns3291907 sshd[21522]: Failed password for admin from 119.48.248.77 port 41845 ssh2
Jul 28 19:07:12 ns3291907 sshd[21523]: Received disconnect from 119.48.248.77: 11: Bye Bye
Jul 28 19:13:19 ns3291907 sshd[22136]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=67.206.96.37 user=root

Jul 29 11:37:08 ns3291907 sshd[32641]: Received disconnect from 108.31.71.51: 11: Bye Bye
Jul 29 11:47:42 ns3291907 sshd[1728]: Invalid user test from 122.204.139.210
Jul 29 11:47:42 ns3291907 sshd[1729]: input_userauth_request: invalid user test
Jul 29 11:47:42 ns3291907 sshd[1728]: pam_unix(sshd:auth): check pass; user unknown
Jul 29 11:47:42 ns3291907 sshd[1728]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=122.204.139.210
Jul 29 11:47:42 ns3291907 sshd[1728]: pam_succeed_if(sshd:auth): error retrieving information about user test
Jul 29 11:47:44 ns3291907 sshd[1728]: Failed password for invalid user test from 122.204.139.210 port 54427 ssh2
Jul 29 11:47:44 ns3291907 sshd[1729]: Received disconnect from 122.204.139.210: 11: Bye Bye
Jul 29 11:47:47 ns3291907 sshd[1730]: Invalid user oracle from 122.204.139.210
Jul 29 11:47:47 ns3291907 sshd[1731]: input_userauth_request: invalid user oracle
Jul 29 11:47:47 ns3291907 sshd[1730]: pam_unix(sshd:auth): check pass; user unknown
Jul 29 11:47:47 ns3291907 sshd[1730]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=122.204.139.210
Jul 29 11:47:47 ns3291907 sshd[1730]: pam_succeed_if(sshd:auth): error retrieving information about user oracle
Jul 29 11:47:49 ns3291907 sshd[1730]: Failed password for invalid user oracle from 122.204.139.210 port 56525 ssh2
Jul 29 11:47:49 ns3291907 sshd[1731]: Received disconnect from 122.204.139.210: 11: Bye Bye
Jul 29 11:47:52 ns3291907 sshd[1732]: Invalid user guest from 122.204.139.210
Jul 29 11:47:52 ns3291907 sshd[1733]: input_userauth_request: invalid user guest

Jul 29 13:20:50 ns3291907 sshd[12792]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-108-31-71-51.washdc.fios.verizon.net
Jul 29 13:20:50 ns3291907 sshd[12792]: pam_succeed_if(sshd:auth): error retrieving information about user test1
Jul 29 13:20:52 ns3291907 sshd[12792]: Failed password for invalid user test1 from 108.31.71.51 port 54074 ssh2
Jul 29 13:32:04 ns3291907 sshd[14015]: Invalid user test from 108.31.71.51
Jul 29 13:32:04 ns3291907 sshd[14016]: input_userauth_request: invalid user test
Jul 29 13:32:04 ns3291907 sshd[14015]: pam_unix(sshd:auth): check pass; user unknown
Jul 29 13:32:04 ns3291907 sshd[14015]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-108-31-71-51.washdc.fios.verizon.net
Jul 29 13:32:04 ns3291907 sshd[14015]: pam_succeed_if(sshd:auth): error retrieving information about user test
Jul 29 13:32:06 ns3291907 sshd[14015]: Failed password for invalid user test from 108.31.71.51 port 54203 ssh2
Jul 29 13:32:06 ns3291907 sshd[14016]: Received disconnect from 108.31.71.51: 11: Bye Bye
Jul 29 13:34:54 ns3291907 sshd[14103]: Invalid user spam from 108.31.71.51
Jul 29 13:34:54 ns3291907 sshd[14104]: input_userauth_request: invalid user spam
Jul 29 13:34:54 ns3291907 sshd[14103]: pam_unix(sshd:auth): check pass; user unknown
Jul 29 13:34:54 ns3291907 sshd[14103]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=static-108-31-71-51.washdc.fios.verizon.net
Jul 29 13:34:54 ns3291907 sshd[14103]: pam_succeed_if(sshd:auth): error retrieving information about user spam


и это не все, что есть в логе. IP адресы мне не знакомые, кто-то подбирает пароль и логин к серверу? И такие записи с 26 числа))
цитата
29/07/15 в 18:59
 ivango
сканируют сайт на предмет наличия уязвимостей
не ломают, а ищут известные дырки и недочеты безопасности
цитата
29/07/15 в 20:43
 DanilBD
ivango писал:
сканируют сайт на предмет наличия уязвимостей
не ломают, а ищут известные дырки и недочеты безопасности


Я так думаю сканируют они не для доброго дела?)
цитата
30/07/15 в 03:52
 Magicum
А что, бывает, что сканируют для доброго дела? trollface.png

Да и в логах это не скан вовсе, а тупо ломятся в SSH, перебирая логины и пароли.

Перевесь SSH на любой друго порт полохмаче, и такие логи не появятся почти никогда.
цитата
30/07/15 в 10:34
 polusweb
это банальный перебор по словарю. способов забыть про это несколько
1. уйти со стандартного 22 порта на любой другой, самый простой способ, но есть риск забыть номер порта icon_lol.gif
2. установить fail2ban, способ чуть сложней, но эта штука как раз для таких переборов. при нескольких попытках в единицу времени неправильных паролей - ip в бан уходит на какое-то время
3. фаерволом ограничить ip которые могут заходить на ssh (если у вас статический ip или диапазон)
цитата
06/08/15 в 22:24
 Alexs
polusweb писал:

но есть риск забыть номер порта icon_lol.gif

Для забывчивых есть команда nmap -A -T4 x.x.x.x icon_rolleyes.gif
Поэтому Я еще стораюсь поделывать приветствие, вместо Debian вывожу Navel или FreeBSD
И пушай ипуца с эксплоитами trollface.png

Последний раз редактировалось: Alexs (06/08/15 в 23:04), всего редактировалось 1 раз
цитата
06/08/15 в 22:24
 Alexs
del
цитата
06/08/15 в 23:07
 Pentarh
Да ну, перебор по ссш совсем не эффективен при нормальных сложностях паролей. Логи только засирает, да.
цитата
10/08/15 в 12:23
 polusweb

согласен. и если есть ротация логов, то это не проблема. единственно, что при необходимости читать логи, множество избыточной информации доятавляет неудобства


Эта страница в полной версии