[Fedora-users-br] Estranho

Alejandro Flores alejandrorflores em gmail.com
Segunda Março 27 13:15:53 UTC 2006 

Olá,

Isso é um ataque de força bruta automatizado para tentar logar no seu
sistema com usuarios/senhas comuns e fracas.
Troque a porta padrão do seu ssh para não ficar recebendo essas
tentativas. Edite o arquivo /etc/ssh/sshd_config e altere a porta
padrão.
Outras configurações que você pode fazer é não permitir login de root
via SSH, e utilizar a diretiva AllowUsers para restringir que usuários
podem ter acesso ao SSH.
Para maiores informações, da uma olhada aqui:
http://www.dicas-l.com.br/dicas-l/20050113.php

Para saber quem é o dono do bloco de um determinado IP, você no linux
pode digitar:
# whois 129.244.24.198
[Querying whois.arin.net]
[whois.arin.net]

OrgName:    University of Tulsa
OrgID:      UNIVER-107
Address:    600 South College Ave
City:       Tulsa
StateProv:  OK
PostalCode: 74104
Country:    US

NetRange:   129.244.0.0 - 129.244.255.255
CIDR:       129.244.0.0/16
NetName:    UTULSANET
NetHandle:  NET-129-244-0-0-1
Parent:     NET-129-0-0-0-0
NetType:    Direct Assignment
NameServer: WHIPPLE.UTULSA.EDU
NameServer: RIGEL.UTULSA.EDU
Comment:
RegDate:    1988-03-28
Updated:    2002-04-07

RTechHandle: ZU84-ARIN
RTechName:   University of Tulsa
RTechPhone:  +1-918-631-2366
RTechEmail:  dnsadmin em utulsa.edu

Parece que alguma máquina na rede dessa universidade (University of
Tulsa) foi comprometida e está tentando atacar outras máquinas com
esse script de ataque de força bruta automatizado.

Mande um e-mail para: abuse em utulsa.edu e dnsadmin em utulsa.edu
Reportando o incidente e com os logs das tentativas.

> Pessoal estava olhando meu log, esta manha, e notei as seguintes linhas
> abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que
> notei teria alguem tentando acessar meu servidor, preciso ver rapido
> isso, conto com a colaboração de todos.
>
> Mar 27 07:47:21 pluto.adere.com sshd[6007]: input_userauth_request:
> illegal user projetos
> Mar 27 07:47:21 pluto.adere.com sshd[6007]: Could not reverse map
> address 129.244.24.198.
> Mar 27 07:47:21 pluto.adere.com sshd[6007]: Failed password for illegal
> user projetos from 129.244.24.198 port 57093 ssh2
> Mar 27 07:47:21 pluto.adere.com sshd[6007]: Received disconnect from
> 129.244.24.198: 11: Bye Bye
>
> Mar 27 07:47:23 pluto.adere.com sshd[6008]: input_userauth_request:
> illegal user projetos
> Mar 27 07:47:23 pluto.adere.com sshd[6008]: Could not reverse map
> address 129.244.24.198.
> Mar 27 07:47:23 pluto.adere.com sshd[6008]: Failed password for illegal
> user projetos from 129.244.24.198 port 57163 ssh2
> Mar 27 07:47:23 pluto.adere.com sshd[6008]: Received disconnect from
> 129.244.24.198: 11: Bye Bye


--
Abraço!
Alejandro Flores
http://www.triforsec.com.br/

Mais detalhes sobre a lista de discussão br-users