Olá,
Isso é um ataque de força bruta automatizado para tentar logar no seu
sistema com usuarios/senhas comuns e fracas.
Troque a porta padrão do seu ssh para não ficar recebendo essas
tentativas. Edite o arquivo /etc/ssh/sshd_config e altere a porta
padrão.
Outras configurações que você pode fazer é não permitir login de root
via SSH, e utilizar a diretiva AllowUsers para restringir que usuários
podem ter acesso ao SSH.
Para maiores informações, da uma olhada aqui:
http://www.dicas-l.com.br/dicas-l/20050113.php
Para saber quem é o dono do bloco de um determinado IP, você no linux
pode digitar:
# whois 129.244.24.198
[Querying
whois.arin.net]
[
whois.arin.net]
OrgName: University of Tulsa
OrgID: UNIVER-107
Address: 600 South College Ave
City: Tulsa
StateProv: OK
PostalCode: 74104
Country: US
NetRange: 129.244.0.0 - 129.244.255.255
CIDR: 129.244.0.0/16
NetName: UTULSANET
NetHandle: NET-129-244-0-0-1
Parent: NET-129-0-0-0-0
NetType: Direct Assignment
NameServer:
WHIPPLE.UTULSA.EDU
NameServer:
RIGEL.UTULSA.EDU
Comment:
RegDate: 1988-03-28
Updated: 2002-04-07
RTechHandle: ZU84-ARIN
RTechName: University of Tulsa
RTechPhone: +1-918-631-2366
RTechEmail: dnsadmin(a)utulsa.edu
Parece que alguma máquina na rede dessa universidade (University of
Tulsa) foi comprometida e está tentando atacar outras máquinas com
esse script de ataque de força bruta automatizado.
Mande um e-mail para: abuse(a)utulsa.edu e dnsadmin(a)utulsa.edu
Reportando o incidente e com os logs das tentativas.
Pessoal estava olhando meu log, esta manha, e notei as seguintes
linhas
abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que
notei teria alguem tentando acessar meu servidor, preciso ver rapido
isso, conto com a colaboração de todos.
Mar 27 07:47:21
pluto.adere.com sshd[6007]: input_userauth_request:
illegal user projetos
Mar 27 07:47:21
pluto.adere.com sshd[6007]: Could not reverse map
address 129.244.24.198.
Mar 27 07:47:21
pluto.adere.com sshd[6007]: Failed password for illegal
user projetos from 129.244.24.198 port 57093 ssh2
Mar 27 07:47:21
pluto.adere.com sshd[6007]: Received disconnect from
129.244.24.198: 11: Bye Bye
Mar 27 07:47:23
pluto.adere.com sshd[6008]: input_userauth_request:
illegal user projetos
Mar 27 07:47:23
pluto.adere.com sshd[6008]: Could not reverse map
address 129.244.24.198.
Mar 27 07:47:23
pluto.adere.com sshd[6008]: Failed password for illegal
user projetos from 129.244.24.198 port 57163 ssh2
Mar 27 07:47:23
pluto.adere.com sshd[6008]: Received disconnect from
129.244.24.198: 11: Bye Bye
--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/