[Fedora-users-br] Estranho
Alejandro Flores
alejandrorflores em gmail.com
Seg Mar 27 13:15:53 UTC 2006
Olá,
Isso é um ataque de força bruta automatizado para tentar logar no seu
sistema com usuarios/senhas comuns e fracas.
Troque a porta padrão do seu ssh para não ficar recebendo essas
tentativas. Edite o arquivo /etc/ssh/sshd_config e altere a porta
padrão.
Outras configurações que você pode fazer é não permitir login de root
via SSH, e utilizar a diretiva AllowUsers para restringir que usuários
podem ter acesso ao SSH.
Para maiores informações, da uma olhada aqui:
http://www.dicas-l.com.br/dicas-l/20050113.php
Para saber quem é o dono do bloco de um determinado IP, você no linux
pode digitar:
# whois 129.244.24.198
[Querying whois.arin.net]
[whois.arin.net]
OrgName: University of Tulsa
OrgID: UNIVER-107
Address: 600 South College Ave
City: Tulsa
StateProv: OK
PostalCode: 74104
Country: US
NetRange: 129.244.0.0 - 129.244.255.255
CIDR: 129.244.0.0/16
NetName: UTULSANET
NetHandle: NET-129-244-0-0-1
Parent: NET-129-0-0-0-0
NetType: Direct Assignment
NameServer: WHIPPLE.UTULSA.EDU
NameServer: RIGEL.UTULSA.EDU
Comment:
RegDate: 1988-03-28
Updated: 2002-04-07
RTechHandle: ZU84-ARIN
RTechName: University of Tulsa
RTechPhone: +1-918-631-2366
RTechEmail: dnsadmin em utulsa.edu
Parece que alguma máquina na rede dessa universidade (University of
Tulsa) foi comprometida e está tentando atacar outras máquinas com
esse script de ataque de força bruta automatizado.
Mande um e-mail para: abuse em utulsa.edu e dnsadmin em utulsa.edu
Reportando o incidente e com os logs das tentativas.
> Pessoal estava olhando meu log, esta manha, e notei as seguintes linhas
> abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que
> notei teria alguem tentando acessar meu servidor, preciso ver rapido
> isso, conto com a colaboração de todos.
>
> Mar 27 07:47:21 pluto.adere.com sshd[6007]: input_userauth_request:
> illegal user projetos
> Mar 27 07:47:21 pluto.adere.com sshd[6007]: Could not reverse map
> address 129.244.24.198.
> Mar 27 07:47:21 pluto.adere.com sshd[6007]: Failed password for illegal
> user projetos from 129.244.24.198 port 57093 ssh2
> Mar 27 07:47:21 pluto.adere.com sshd[6007]: Received disconnect from
> 129.244.24.198: 11: Bye Bye
>
> Mar 27 07:47:23 pluto.adere.com sshd[6008]: input_userauth_request:
> illegal user projetos
> Mar 27 07:47:23 pluto.adere.com sshd[6008]: Could not reverse map
> address 129.244.24.198.
> Mar 27 07:47:23 pluto.adere.com sshd[6008]: Failed password for illegal
> user projetos from 129.244.24.198 port 57163 ssh2
> Mar 27 07:47:23 pluto.adere.com sshd[6008]: Received disconnect from
> 129.244.24.198: 11: Bye Bye
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
Mais detalhes sobre a lista de discussão Fedora-users-br