5:06 a.m.
Pessoal estava olhando meu log, esta manha, e notei as seguintes linhas
abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que
notei teria alguem tentando acessar meu servidor, preciso ver rapido
isso, conto com a colaboração de todos.
Mar 27 07:47:21 pluto.adere.com sshd[6007]: input_userauth_request:
illegal user projetos
Mar 27 07:47:21 pluto.adere.com sshd[6007]: Could not reverse map
address 129.244.24.198.
Mar 27 07:47:21 pluto.adere.com sshd[6007]: Failed password for illegal
user projetos from 129.244.24.198 port 57093 ssh2
Mar 27 07:47:21 pluto.adere.com sshd[6007]: Received disconnect from
129.244.24.198: 11: Bye Bye
Mar 27 07:47:23 pluto.adere.com sshd[6008]: input_userauth_request:
illegal user projetos
Mar 27 07:47:23 pluto.adere.com sshd[6008]: Could not reverse map
address 129.244.24.198.
Mar 27 07:47:23 pluto.adere.com sshd[6008]: Failed password for illegal
user projetos from 129.244.24.198 port 57163 ssh2
Mar 27 07:47:23 pluto.adere.com sshd[6008]: Received disconnect from
129.244.24.198: 11: Bye Bye
6:19 a.m.
Técnicamente eu não sei... mas deve haver algum orgão que pode ser
contactado para saber de onde seria esse Ip não?
Em 27/03/06, Adere - Levi / Analista de Suporte Linux <levi.alves(a)adere.com>
escreveu:
Pessoal estava olhando meu log, esta manha, e notei as seguintes linhas
abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que
notei teria alguem tentando acessar meu servidor, preciso ver rapido
isso, conto com a colaboração de todos.
Mar 27 07:47:21 pluto.adere.com sshd[6007]: input_userauth_request:
illegal user projetos
Mar 27 07:47:21 pluto.adere.com sshd[6007]: Could not reverse map
address 129.244.24.198.
Mar 27 07:47:21 pluto.adere.com sshd[6007]: Failed password for illegal
user projetos from 129.244.24.198 port 57093 ssh2
Mar 27 07:47:21 pluto.adere.com sshd[6007]: Received disconnect from
129.244.24.198: 11: Bye Bye
Mar 27 07:47:23 pluto.adere.com sshd[6008]: input_userauth_request:
illegal user projetos
Mar 27 07:47:23 pluto.adere.com sshd[6008]: Could not reverse map
address 129.244.24.198.
Mar 27 07:47:23 pluto.adere.com sshd[6008]: Failed password for illegal
user projetos from 129.244.24.198 port 57163 ssh2
Mar 27 07:47:23 pluto.adere.com sshd[6008]: Received disconnect from
129.244.24.198: 11: Bye Bye
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Rafael Brito Gomes
Sistema de Informação
Unifacs
III Festival de Software Livre da Bahia
24, 25 e 26 de agosto de 2006
http://festival.softwarelivre.org
6:59 a.m.
Rafael Gomes wrote:
Técnicamente eu não sei... mas deve haver algum orgão que pode ser
contactado para saber de onde seria esse Ip não?
Rodei o seguinte comando:
# dig -x 129.244.24.198
;; QUESTION SECTION:
;198.24.244.129.in-addr.arpa. IN PTR
;; AUTHORITY SECTION:
244.129.in-addr.arpa. 10794 IN SOA whipple.utulsa.edu.
dnsadmin.utulsa.edu. 2006032201 3600 300 3600000 14400
Acho que o http//registro.br, seria uma boa fonte de informações.
Espero ter ajudado,
Clóvis
Em 27/03/06, *Adere - Levi / Analista de Suporte Linux*
<levi.alves(a)adere.com <mailto:levi.alves@adere.com>> escreveu:
Pessoal estava olhando meu log, esta manha, e notei as seguintes
linhas
abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois
pelo que
notei teria alguem tentando acessar meu servidor, preciso ver rapido
isso, conto com a colaboração de todos.
Mar 27 07:47:21 pluto.adere.com <http://pluto.adere.com>
sshd[6007]: input_userauth_request:
illegal user projetos
Mar 27 07:47:21 pluto.adere.com <http://pluto.adere.com>
sshd[6007]: Could not reverse map
address 129.244.24.198 <http://129.244.24.198>;.
Mar 27 07:47:21 pluto.adere.com <http://pluto.adere.com>
sshd[6007]: Failed password for illegal
user projetos from 129.244.24.198 <http://129.244.24.198> port
57093 ssh2
Mar 27 07:47:21 pluto.adere.com <http://pluto.adere.com>
sshd[6007]: Received disconnect from
129.244.24.198 <http://129.244.24.198>;: 11: Bye Bye
Mar 27 07:47:23 pluto.adere.com <http://pluto.adere.com>
sshd[6008]: input_userauth_request:
illegal user projetos
Mar 27 07:47:23 pluto.adere.com <http://pluto.adere.com>
sshd[6008]: Could not reverse map
address 129.244.24.198 <http://129.244.24.198>;.
Mar 27 07:47:23 pluto.adere.com <http://pluto.adere.com>
sshd[6008]: Failed password for illegal
user projetos from 129.244.24.198 <http://129.244.24.198> port
57163 ssh2
Mar 27 07:47:23 pluto.adere.com <http://pluto.adere.com>
sshd[6008]: Received disconnect from
129.244.24.198 <http://129.244.24.198>;: 11: Bye Bye
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com <mailto:Fedora-users-br@redhat.com>
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Rafael Brito Gomes
Sistema de Informação
Unifacs
III Festival de Software Livre da Bahia
24, 25 e 26 de agosto de 2006
http://festival.softwarelivre.org
------------------------------------------------------------------------
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br
--
Clovis Tristao - UNICAMP/Faculdade de Engenharia Agricola
Administrador de Redes - Secao de Informatica (SINFO)
E-mail: mailto:clovis@agr.unicamp.br http://www.agr.unicamp.br
Fone(0xx19) 37881031-37881038 ou FAX(55xx19) 37881005/37881010
7:15 a.m.
Olá,
Isso é um ataque de força bruta automatizado para tentar logar no seu
sistema com usuarios/senhas comuns e fracas.
Troque a porta padrão do seu ssh para não ficar recebendo essas
tentativas. Edite o arquivo /etc/ssh/sshd_config e altere a porta
padrão.
Outras configurações que você pode fazer é não permitir login de root
via SSH, e utilizar a diretiva AllowUsers para restringir que usuários
podem ter acesso ao SSH.
Para maiores informações, da uma olhada aqui:
http://www.dicas-l.com.br/dicas-l/20050113.php
Para saber quem é o dono do bloco de um determinado IP, você no linux
pode digitar:
# whois 129.244.24.198
[Querying whois.arin.net]
[whois.arin.net]
OrgName: University of Tulsa
OrgID: UNIVER-107
Address: 600 South College Ave
City: Tulsa
StateProv: OK
PostalCode: 74104
Country: US
NetRange: 129.244.0.0 - 129.244.255.255
CIDR: 129.244.0.0/16
NetName: UTULSANET
NetHandle: NET-129-244-0-0-1
Parent: NET-129-0-0-0-0
NetType: Direct Assignment
NameServer: WHIPPLE.UTULSA.EDU
NameServer: RIGEL.UTULSA.EDU
Comment:
RegDate: 1988-03-28
Updated: 2002-04-07
RTechHandle: ZU84-ARIN
RTechName: University of Tulsa
RTechPhone: +1-918-631-2366
RTechEmail: dnsadmin(a)utulsa.edu
Parece que alguma máquina na rede dessa universidade (University of
Tulsa) foi comprometida e está tentando atacar outras máquinas com
esse script de ataque de força bruta automatizado.
Mande um e-mail para: abuse(a)utulsa.edu e dnsadmin(a)utulsa.edu
Reportando o incidente e com os logs das tentativas.
Pessoal estava olhando meu log, esta manha, e notei as seguintes
linhas
abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que
notei teria alguem tentando acessar meu servidor, preciso ver rapido
isso, conto com a colaboração de todos.
Mar 27 07:47:21 pluto.adere.com sshd[6007]: input_userauth_request:
illegal user projetos
Mar 27 07:47:21 pluto.adere.com sshd[6007]: Could not reverse map
address 129.244.24.198.
Mar 27 07:47:21 pluto.adere.com sshd[6007]: Failed password for illegal
user projetos from 129.244.24.198 port 57093 ssh2
Mar 27 07:47:21 pluto.adere.com sshd[6007]: Received disconnect from
129.244.24.198: 11: Bye Bye
Mar 27 07:47:23 pluto.adere.com sshd[6008]: input_userauth_request:
illegal user projetos
Mar 27 07:47:23 pluto.adere.com sshd[6008]: Could not reverse map
address 129.244.24.198.
Mar 27 07:47:23 pluto.adere.com sshd[6008]: Failed password for illegal
user projetos from 129.244.24.198 port 57163 ssh2
Mar 27 07:47:23 pluto.adere.com sshd[6008]: Received disconnect from
129.244.24.198: 11: Bye Bye
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/
6603
days inactive
6603
days old
br-users@lists.fedoraproject.org
3 comments
4 participants
participants (4)
-
Adere - Levi / Analista de Suporte Linux -
Alejandro Flores -
Clovis Tristao -
Rafael Gomes