Fel akarnak torni

[quote:90526a3935="selli"]A /var/log/message -bol:

Illegal user test from 139.223.200.104
Aug 15 14:22:00 sunset sshd[3835]: Failed password for illegal user test from 139.223.200.104 port 58911 ssh2
Aug 15 14:22:03 sunset sshd[3838]: Illegal user guest from 139.223.200.104
Aug 15 14:22:03 sunset sshd[3838]: Failed password for illegal user guest from 139.223.200.104 port 58987 ssh2
Aug 15 14:22:06 sunset sshd[3840]: Illegal user admin from 139.223.200.104
Aug 15 14:22:06 sunset sshd[3840]: Failed password for illegal user admin from 139.223.200.104 port 59045 ssh2
Aug 15 14:22:09 sunset sshd[3843]: Illegal user admin from 139.223.200.104
Aug 15 14:22:09 sunset sshd[3843]: Failed password for illegal user admin from 139.223.200.104 port 59099 ssh2
Aug 15 14:22:11 sunset sshd[3845]: Illegal user user from 139.223.200.104
Aug 15 14:22:11 sunset sshd[3845]: Failed password for illegal user user from 139.223.200.104 port 59146 ssh2
Aug 15 14:22:14 sunset sshd[3848]: Failed password for root from 139.223.200.104 port 59195 ssh2
Aug 15 14:22:17 sunset sshd[3851]: Failed password for root from 139.223.200.104 port 59232 ssh2
Aug 15 14:22:20 sunset sshd[3853]: Failed password for root from 139.223.200.104 port 59259 ssh2
Aug 15 14:22:23 sunset sshd[3856]: Illegal user test from 139.223.200.104
Aug 15 14:22:23 sunset sshd[3856]: Failed password for illegal user test from 139.223.200.104 port 59286 ssh2

Nekem ebbol az jon ki hogy valaki probalkozik ssh -vel belepni csak nem sikerul neki egyenlore. ( tuzfalbol kitiltottam az ip-t )

Hat meglehetosen sokaig tart vegigprobalni az osszes lehetoseget :-D

Ilyennel nekem is tele van a log... :D

Ez egy progi szerintem nem ember, ki az a hülye aki ugyan avval a 3 user névvel próbálkozik 2-3 naponta, különben az enyém is tele van Vele... Amúgy CVS-en keresztül is próbáltak bejönni...

Szerintem legyel stilszeru, nyomjad te is tele Te is az o logjat :D
En mar elkeztem :lol:

par script kiddie probalkozott, vagy az uj worm ment vegig
user:user jelszo:passwd-oket probalgat... Normalisan beallitott jelszoval vedekezhetsz ellene, esetleg pam_listfile is bevetheto.

asd

Mohácsi úr írta a KFKI SEC Listre:

Szervusztok!
Valoszinuleg van valamilyen brute-force script, amivel nyomulnak a a script-kiddiek: test, root, admin,guest userekre probalnak jelszo kitalalassal bejutni. Ha jo a jelszavad ezeken az accountokon vagy nincsenek ilyen accountjaid, akkor csak a forrasnak jelezheted, hogy nala valami gaz van... KB. 2 hete kezdodott a kiserletezes...

Mi is láttuk a saját gépeinken, meg más is, valoszinuleg a fenti lehet a fennforgás. Pánikra nincs ok.

[quote:ba64b6b193="selli"]Aki ilyen gagyi modon akar bejutni annak nem sok esélye van. :)

Ne nekem mondd..., de látod probalkoznak. :D

Én is észrevettem, kb egy hete. A kis suttyók scannelgetik az invitel adsl-poolját. Ez először nem volt világos, és qrvára besz@rtam, hogy fel akarják nyomni a szervereim, de aztán láttam, hogy visszatérő látogatók és megnyugodtam egy kicsit (46 karakteres root pass kitart egy darabig :) ).

SZVSZ, amíg látod a logokban, addig bizti kint vannak.

[quote:3b01544354="pete"] (46 karakteres root pass kitart egy darabig :) )....

Igen de sokat segít a helyzeten ha tudod milyen hosszú
az illető jelszava :twisted:

hja, nekem is tele a logom ilyenekkel:[code:1:e59a450255]Jul 23 16:25:43 vmhome sshd[17612]: Illegal user guest from ::ffff:216.20.112.57
Jul 23 16:25:43 vmhome sshd[17612]: Failed password for illegal user guest from
::ffff:216.20.112.57 port 3457 ssh2
[/code:1:e59a450255] :wink:

btw ez dosolás, vagy mi jelent?[code:1:22256931c5]Jul 23 16:32:37 vmhome kernel: SPOOFED Packet IN=ppp0 OUT= MAC= SRC=10.1.48.125
DST=81.182.31.180 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=52173 DF PROTO=TCP SPT=23
54 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0
[/code:1:22256931c5]

[quote:7f19ab211f="vmiklos"]btw ez dosolás, vagy mi jelent?[code:1:7f19ab211f]Jul 23 16:32:37 vmhome kernel: SPOOFED Packet IN=ppp0 OUT= MAC= SRC=10.1.48.125
DST=81.182.31.180 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=52173 DF PROTO=TCP SPT=23
54 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0
[/code:1:7f19ab211f]

olyasmi, valamelyik virus csinalja ezt

nekem is volt ilyen problemam.

en megtettem a magamet a cel erdekebe.
22 es port tiltasa
egy tetszoleges portot valasztok pl 6745
a ppp0 6745 portrol atkuldom a lo 22 -re
igy aki nem ismeri a portot, nem igazan fogja megtalalni az ssh kaput.

plusz poen lehet ha a 22-est fenntartod es az ablak meretet meg lecsokkented 0 bytera. igy a kuldo eroforrasat fel a mienket meg megkimeljuk.

D.

[quote:cfcef25178="cstamas"][quote:cfcef25178="pete"] (46 karakteres root pass kitart egy darabig :) )....

Igen de sokat segít a helyzeten ha tudod milyen hosszú
az illető jelszava :twisted:

Hát ha egy ekkorát felnyomnak, akkor biztos hogy valamelyik szuperszámítógépes központban kell keresni őket, esetleg vm. distributed project feltörői között.

Amúgy már nem is vagyok biztos, hogy pont 46 ... :P

[quote:d044b4fc6c="vmiklos"]btw ez dosolás, vagy mi jelent?[code:1:d044b4fc6c]Jul 23 16:32:37 vmhome kernel: SPOOFED Packet IN=ppp0 OUT= MAC= SRC=10.1.48.125
DST=81.182.31.180 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=52173 DF PROTO=TCP SPT=23
54 DPT=445 WINDOW=64800 RES=0x00 SYN URGP=0
[/code:1:d044b4fc6c]

Szerintem nem dosolas, csak egy spoofolt csomag, es nem hiszem hogy virus csinalta.

[quote:35a94bb00d="gdavid"]nekem is volt ilyen problemam.

en megtettem a magamet a cel erdekebe.
22 es port tiltasa
egy tetszoleges portot valasztok pl 6745
a ppp0 6745 portrol atkuldom a lo 22 -re
igy aki nem ismeri a portot, nem igazan fogja megtalalni az ssh kaput.

plusz poen lehet ha a 22-est fenntartod es az ablak meretet meg lecsokkented 0 bytera. igy a kuldo eroforrasat fel a mienket meg megkimeljuk.

D.

Igen, egy ismeretlen portra áttenni a nem nyilvános szolgáltatásokat a legtöbb esetben bejön, nincs idő mind a 65536 portot letesztelni a script kiddie-knek.
Én is ezt tettem. Bár néha gondolkozom egy honey pot-on is, ha felmérgesítem magam.

[quote:e0265b716e="pete"][quote:e0265b716e="pete"] (46 karakteres root pass kitart egy darabig :) )....

Hát ha egy ekkorát felnyomnak, akkor biztos hogy valamelyik szuperszámítógépes központban kell keresni őket, esetleg vm. distributed project feltörői között.

Ezt ugyan mibol gondolod?
Nincs meg nekik az /etc/shadow masolata, csak neten keresztul probalkozhatnanak, de ennyi probalkozas vagy evtizedekig tartana,vagy terdre kenyszeritene a victim gepet.

Amugy 46 karakteres root jelszo pontosan annyit er mint ami az elso 8 karaktereben van, kiv. ha be van kapcsolva az MD5 jelszokezeles.

asd

[quote:afedca4e19="gdavid"]en megtettem a magamet a cel erdekebe.
22 es port tiltasa
egy tetszoleges portot valasztok pl 6745
a ppp0 6745 portrol atkuldom a lo 22 -re
igy aki nem ismeri a portot, nem igazan fogja megtalalni az ssh kaput.
.

hát őszinte leszek ***va korán van még nekem, úgyhogy nem tudom most végiggondolni teljesen ezt a dolgot, de:
'nmap -sV' -re mit mond ilyenkor? gondolom ua ssh izémizé...
szerintem az egyik talán hatásos megoldás h ssh csak 1-2 usernek engedélyezni+sshd: ip a hosts.allow-ba...

[quote:b126553564="tso"]h ssh csak 1-2 usernek engedélyezni+sshd: ip a hosts.allow-ba...

1. ip alapu biztonsaggal kinyalhatod, mert barki, aki a kozeledben van vagy utba esik,
meg tudja hamisitani.
2. hosts.allow, es a tcp wrapper nem er semmit... legrosszabb esetben pam_listfile, de inkabb egy rendesen karbantartott ssh szerver es dsa kulccsal azonositas.

asd

tudtok nekem segíteni?
Abban ha cseszeget valaki akkor annak a gépével kezdeni valamit! nem kell hogy a gépe haza legyen vágva csak hogy megértse hogy nem kéne kötöszködni! azért kérem mert ennek az embernek nem ér a szépszó és túlterheli állandóan a hálózatomat...
Remélem valaki tud segíteni nekem!!! 8)

nem érdemes vele foglakozni nekem 1,5 éve nyomják átlag napi 3-6 de néha
980! eddig még nem jutottak be (asszem) :) majd megszokjátok.

[quote:af2e40563b="asd"][quote:af2e40563b="tso"]h ssh csak 1-2 usernek engedélyezni+sshd: ip a hosts.allow-ba...

1. ip alapu biztonsaggal kinyalhatod, mert barki, aki a kozeledben van vagy utba esik,
meg tudja hamisitani.
2. hosts.allow, es a tcp wrapper nem er semmit... legrosszabb esetben pam_listfile, de inkabb egy rendesen karbantartott ssh szerver es dsa kulccsal azonositas.

asd

A dsa-val csak az a baj, hogy en pl a munkahelyi gepre nem szivesen raknam fel a privat dsa kulcsom..

Nekem is tele van ilyen próbálkozásokkal a logom. Meg a himbilimbim is. :)
Folyamatosan szkennelik a szervert. De már nem is érdekel. Majd visszakeresem az ip-t, felhívom a szolgáltatóját, azt kész. 8)

[quote:9a0bb50d79="nepper"]tudtok nekem segíteni?
Abban ha cseszeget valaki akkor annak a gépével kezdeni valamit! nem kell hogy a gépe haza legyen vágva csak hogy megértse hogy nem kéne kötöszködni! azért kérem mert ennek az embernek nem ér a szépszó és túlterheli állandóan a hálózatomat...
Remélem valaki tud segíteni nekem!!! 8)

Na ezt inkább gyorsan felejtsd el... Max gerinchálóról nyomsz neki egy kis flood-ot, de törögetni nem szép dolog...
Inkább nézzétek meg ezt:
http://tuxworld.homelinux.org/blacklist/

Üdv, Csaba

[quote:24eed5bf7d="Athes"]Nekem is tele van ilyen próbálkozásokkal a logom. Meg a himbilimbim is. :)
Folyamatosan szkennelik a szervert. De már nem is érdekel. Majd visszakeresem az ip-t, felhívom a szolgáltatóját, azt kész. 8)

Csatlakozom mind a loggal rendelkezőkhöz, mind akiknek elege van már belőle. De nem biztos, hogy sikerrel lehet járni a visszakeresésnél. Pl. a múltkor az egyik IP-nek utánamentem a www.ripe.net-en, és azt irta ki, hogy nincs ilyen cím kiosztva, szóval spoofolt. :-( Ilyenkor kinek szóljon az ember? A címkitiltás meg nem sokat ér, általában vagy spoofolt, vagy dinamikusan kiosztott cím. Holnap már másikról jönnek :twisted:

D.

ezaz, általában én se tudom visszakeresni őket :(

[quote:bee6a4faca="asd"]Amugy 46 karakteres root jelszo pontosan annyit er mint ami az elso 8 karaktereben van, kiv. ha be van kapcsolva az MD5 jelszokezeles.

melyik disztró az, amiben nincs defaultból bekapcsolva? :?

[quote:e59f82034d="vmiklos"][quote:e59f82034d="asd"]Amugy 46 karakteres root jelszo pontosan annyit er mint ami az elso 8 karaktereben van, kiv. ha be van kapcsolva az MD5 jelszokezeles.

melyik disztró az, amiben nincs defaultból bekapcsolva? :?

Debian woody telepítő alapban a "No"-t adja, amikor megkérdezi, akarsz-e md5-öt.

[quote:94d84ba090="bitumen"]
http://tuxworld.homelinux.org/blacklist/

nah en mar regota gondolkozom valami ilyesmin... lehetne csinalni egy publikus blacklistet, csak a f asz akarja vizsgalgatni,h jogos-e az adott ip postolasa, ertelme marpedig ugy lennne, h mind a spamelo mind a kiddi gepeket valahogy globalisan letiltani... de persze ez ellen taltak fel a spoofolast... asszem osszeba szok egy honeypotot aztan majd warolok az intruderekkel:)

[quote:f8c164cc93="norcrys"]Debian woody telepítő alapban a "No"-t adja, amikor megkérdezi, akarsz-e md5-öt.

no comment :wink:

[quote:03eccdddf0="dominis"][quote:03eccdddf0="bitumen"]
http://tuxworld.homelinux.org/blacklist/

nah en mar regota gondolkozom valami ilyesmin... lehetne csinalni egy publikus blacklistet, csak a f asz akarja vizsgalgatni,h jogos-e az adott ip postolasa, ertelme marpedig ugy lennne, h mind a spamelo mind a kiddi gepeket valahogy globalisan letiltani... de persze ez ellen taltak fel a spoofolast... asszem osszeba szok egy honeypotot aztan majd warolok az intruderekkel:)

A linkelt blacklista publikus. Mindenki tudja a 2 scriptet hasztálni, ami az oldalon van. Így autómatikusan frissül a db, és a biztonság növekszik...
Azt a honeypotot hogyan képzelet pontosan? HOgyan kéne ilyesmit megvalósítani?

UPDATE:

a www.celebs.ch -ra resolvolt a ma 10h körüli próbálkozás. DSL-en vagyok, szerintetek lehet spoofolt cím? Mindenesetre a forrásgép logjában lesz n*100 kabbe_es_ne_b@szogass nevu user sikertelen belepese. 8)

Most megyek es megemelem az SSH kulcshosszat (alapból 7xx bit, ha jól tudom)...

...ami semmit se ér ssh 2-es proto esetén :(

hát akkor:
[code:1:27e2a9b083]
DenyUsers test guest root ....
[/code:1:27e2a9b083]

Ez már hatásosabb.

[quote:bbfd1fdacc="bitumen"]
A linkelt blacklista publikus. Mindenki tudja a 2 scriptet hasztálni, ami az oldalon van. Így autómatikusan frissül a db, és a biztonság növekszik...
Azt a honeypotot hogyan képzelet pontosan? HOgyan kéne ilyesmit megvalósítani?

azt en latom,h publikus, csak te frissited, es azalapjan,h kik tamadjak a geped, ez igy eleg keves... :?

http://www.honeynet.org/tools/index.html

[quote:32c6b328f3="norcrys"]
Debian woody telepítő alapban a "No"-t adja, amikor megkérdezi, akarsz-e md5-öt.

pam upgrade is utotte regen az md5-ot (konfigfile-ban alapbol md5 nelkuli pam_unix beallitasok vannak)

PermitRootLogin without-password
es LDAP rulez

asd

[quote:fbbebe523f="pete"]UPDATE:

a www.celebs.ch -ra resolvolt a ma 10h körüli próbálkozás. DSL-en vagyok, szerintetek lehet spoofolt cím? Mindenesetre a forrásgép logjában lesz n*100 kabbe_es_ne_b@szogass nevu user sikertelen belepese. 8)

Most megyek es megemelem az SSH kulcshosszat (alapból 7xx bit, ha jól tudom)...

de a MIRROR cél is jó iptables-el és gyorsabb is lusta rendszergazdáknak... Csinos eredményt tud produkálni.

na pamot meg én nem használok :wink:

[quote:3d746b5e2b="dominis"][quote:3d746b5e2b="bitumen"]
A linkelt blacklista publikus. Mindenki tudja a 2 scriptet hasztálni, ami az oldalon van. Így autómatikusan frissül a db, és a biztonság növekszik...
Azt a honeypotot hogyan képzelet pontosan? HOgyan kéne ilyesmit megvalósítani?

azt en latom,h publikus, csak te frissited, es azalapjan,h kik tamadjak a geped, ez igy eleg keves... :?

http://www.honeynet.org/tools/index.html

Nos pontosan ezért raktam ki a logging-scriptet is, amit mindenki fel tud magának rakni és az ő gépéről tudja a autómatizálva feltölteni az én gépemre a "gonosz" ip-ket. Ha sokan használják, akkor rendesen müxik. Tehát még1szer: a lista public-writeable, csak törölni csak én tudok...

[quote:6972fc4534="vmiklos"]na pamot meg én nem használok :wink:

Ezzel vitaba szallnek.

[quote:54b1319282="norcrys"]
a MIRROR cél is jó iptables-el és gyorsabb is lusta rendszergazdáknak... Csinos eredményt tud produkálni.

Mit akarsz vele csinalni? Pazarolni a sajat savszelesseged, vagy csuzli szeretnel lenni egy masik gep spoofolasanal?

asd

[quote:3d1d66b921="asd"][quote:3d1d66b921="norcrys"]
a MIRROR cél is jó iptables-el és gyorsabb is lusta rendszergazdáknak... Csinos eredményt tud produkálni.

Mit akarsz vele csinalni? Pazarolni a sajat savszelesseged, vagy csuzli szeretnel lenni egy masik gep spoofolasanal?

asd

A "Mindenesetre a forrásgép logjában lesz n*100 kabbe_es_ne_b@szogass nevu user sikertelen belepese" helyett javasoltam. Akkor feltételezzük, hogy a forráscím nem hamis. Ha hamis, akkor valóban nem megoldás.

par napja nekem is volt hasonlo problemam , egy csomo ismeretlen IP akart belepni : guest, test es egyeb userekel . Vegul amikor mar root-al is probalkoztak felidegeskedtem es levagtam a 22-es portot :D

[quote:2bb72e04c9="vmiklos"][quote:2bb72e04c9="asd"]Amugy 46 karakteres root jelszo pontosan annyit er mint ami az elso 8 karaktereben van, kiv. ha be van kapcsolva az MD5 jelszokezeles.

melyik disztró az, amiben nincs defaultból bekapcsolva? :?

melyik disztró az, amiben nincs defaultból pam support?? :twisted:

Mostanában evil kedvemben vagyok 8)

hello

feltoltotem ma 13:01:05 ig a probalkozasok listajat amit iptables DROP olt;>

bar annak orulok hogy 22es portra ma csak 2en probaltak meg bejonni... TW, KR...
Tegnap 7 en voltak tegnapelott 4 en. Engem nemzavar. iptablesel minden port le van zarva, 22 es port meg csak 6 IP nek elerheto ;>

http://macskas.loller.hu/lista.txt

macskas

nekem nincsenek ilyen problémáim, de ha lenne akkor azt csinálnám hogy iptables-sel ha nem ismert ip-ről akarnak jönni a 22-es porton akkor azt loggolom (-j LOG) és a logból pedig a MAC addresst megtudom, amit ki is tilthatunk akár.

[quote:7891094539="lacipac"]nekem nincsenek ilyen problémáim, de ha lenne akkor azt csinálnám hogy iptables-sel ha nem ismert ip-ről akarnak jönni a 22-es porton akkor azt loggolom (-j LOG) és a logból pedig a MAC addresst megtudom, amit ki is tilthatunk akár.

rotfl

ez max. lan-on jó, mert különben a routered mac címét tiltod le :lol: :lol: :lol:

[quote:9afd93890e="hunger"]mert különben a routered mac címét tiltod le :lol: :lol: :lol:

nem, mer azt mar ownoljak a tajvani 1337 h4x0r0k, es 5 percenkent uj mac-et spoofol:)

[quote:f502f71bfc="snq-"][quote:f502f71bfc="hunger"]mert különben a routered mac címét tiltod le :lol: :lol: :lol:

nem, mer azt mar ownoljak a tajvani 1337 h4x0r0k, es 5 percenkent uj mac-et spoofol:)

1337? erre nem sikerült még rájönnöm

Hi!

Marmint arra, hogy mit jelent a 1337? LEET=elite, csak ilyen h4x0r silusban :)

By(t)e
TBS::Antiemes

ilyen sajnos van....
ezen már nem idegesítem magam... amikor ugyanezt játszák levéllel... az már egy kissé csúcsosabb, mert az a sávszélességet is zabolja.

egyébként az én gépem ssh-n kívülről csak 2 ip-ről érhető el. ami nem onnan jön annak pá. ki tudja rajtam kívül melyik az a kettő ?

www.celebs.ch ?
:lol:

[quote:025b1ebb69="cstamas"][quote:025b1ebb69="pete"] (46 karakteres root pass kitart egy darabig :) )....

Igen de sokat segít a helyzeten ha tudod milyen hosszú
az illető jelszava :twisted:

És milyen sokat segít ha rosszul tudod a hosszát?