nixp.ru v3.0

17 октября 2017,
вторник,
14:36:02 MSK

DevOps с компанией «Флант»
Аватар пользователя Vladimir
Vladimir написал 5 июля 2005 года в 02:35 (425 просмотров) Ведет себя как мужчина; открыл 62 темы в форуме, оставил 375 комментариев на сайте.

вот что нашел сегодня в /var/log/messages/

Jul 3 12:46:55 www sshd[19985]: Invalid user student from 82.135.146.51

Jul 3 12:46:58 www sshd[19990]: Invalid user kevin from 82.135.146.51

Jul 3 12:47:12 www sshd[20005]: Invalid user sandra from 82.135.146.51

Jul 3 12:47:15 www sshd[20010]: Invalid user ftptest from 82.135.146.51

Jul 3 12:47:25 www sshd[20020]: Invalid user webadmin from 82.135.146.51

Jul 3 12:47:31 www sshd[20030]: Invalid user mailman from 82.135.146.51

Jul 3 12:47:34 www sshd[20035]: Invalid user temp1 from 82.135.146.51

Jul 3 12:47:37 www sshd[20040]: Invalid user testmysql from 82.135.146.51

Jul 3 12:47:41 www sshd[20045]: Invalid user ftptest from 82.135.146.51

Jul 3 12:47:47 www sshd[20055]: Invalid user webmaster from 82.135.146.51

Jul 3 12:47:50 www sshd[20060]: Invalid user user from 82.135.146.51

Jul 3 12:47:55 www sshd[20065]: Invalid user r00t from 82.135.146.51

Jul 3 12:47:58 www sshd[20070]: Invalid user administrator from 82.135.146.51

Jul 3 12:48:01 www sshd[20075]: Invalid user angel from 82.135.146.51

Jul 3 12:48:04 www sshd[20080]: Invalid user ftpuser from 82.135.146.51

Jul 3 12:48:08 www sshd[20085]: Invalid user oracle from 82.135.146.51

Jul 3 12:48:11 www sshd[20090]: User guest not allowed because shell /dev/null is notexecutable

Jul 3 12:48:14 www sshd[20095]: Invalid user test from 82.135.146.51

Jul 3 12:48:28 www sshd[20115]: Invalid user www from 82.135.146.51

Jul 3 12:48:42 www sshd[20135]: Invalid user testuser from 82.135.146.51

Jul 3 12:48:50 www sshd[20145]: Invalid user mailtest from 82.135.146.51

Jul 3 12:48:54 www sshd[20150]: Invalid user sales from 82.135.146.51

Jul 3 12:49:00 www sshd[20155]: Invalid user service from 82.135.146.51

Jul 3 12:49:04 www sshd[20160]: Invalid user student from 82.135.146.51

Jul 3 12:49:07 www sshd[20165]: Invalid user kevin from 82.135.146.51

ну и так далее

это кто-то подбирал имя пользователя? хмм.

Vladimir

p.s. apache2

rgo

брутфорс называется. Кто-то гонял hydra (или аналог), пытаясь подобрать пару логин-пароль.

Vladimir

balujutsia navernoje. u menia server bez iptables na gentoo stoit. nmap pokazyvajet — chto otkryty tolko http i ssh (nu da, bolshe nichego i ne zapusheno). stoit li peresobirat' jadro dlia vkliuchenija iptables v nego ili ne stoit?

sledusheje, chto sdelaju — eto vkliuchu selinux i emerge bastille.

slice

лично я бы еще поставил grsecurity.

rgo

Вопрос в том кто может логиниться. Чем больше валидных пар логин-пароль тем вероятнее что одна из их станет известна тому, кому знать её не положено.

Ежели только ты можешь там логиниться, так сгенери себе хороший пароль и фига с два кто его подберёт.

Vladimir

nu loginitsia mogu ja (ne kak root). i dalshe jeshio 2 polzovatelia. odnogo iz nix ja dazhe znaju parol’. nu ne slabyj naborchik takoj. u menia tozhe. a vot naschiot jeshio odnogo polzovatelia — ne znaju, ne znaju…. pravda v grupe wheel — tolko ja odin. (sistema gentoo)

Vladimir

далее: выдержка из /var/log/messages:

Jul 14 07:36:56 www sshd[32538]: Accepted keyboard-interactive/pam for ingae fr$

Jul 14 07:36:56 www sshd(pam_unix)[32544]: session opened for user ingae by (ui$

Jul 14 07:36:56 www sshd(pam_unix)[32544]: session closed for user ingae

Jul 14 07:38:56 www sshd[32547]: Accepted keyboard-interactive/pam for ingae fr$

Jul 14 07:38:56 www sshd(pam_unix)[32553]: session opened for user ingae by (ui$

Jul 14 07:38:56 www sshd(pam_unix)[32553]: session closed for user ingae

Jul 14 07:40:01 www cron[32557]: (root) CMD (test -x /usr/sbin/run-crons &&

пользователь 'ingae' существует на серваке, да только ни я ни человек, кот. под ним входит не пытались

логинится даже вчера. что эти строчки могли бы значить? почему сессия открывается (как вообще она

открывается????) и закрывается в ту же секунду? неправильный пароль даёт в /var/log/messages совсем

другое сообщение.

ещё: может кто ткнёт носом в вот куда: нужно чтоб залогинившийся пользователь видел только определённую

директорию (и не выше её). chroot?

ткните в доки может?