/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Der er noget der forsøger at hacke min Lin~
Fra : Rudi Hansen


Dato : 20-09-04 11:54

Hej Gutter.

Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.

--------------------- SSHD Begin ------------------------


Failed logins from these:
admin/password from 218.93.124.211: 2 Time(s)
guest/password from 218.93.124.211: 1 Time(s)
root/password from 218.93.124.211: 3 Time(s)
test/password from 218.93.124.211: 2 Time(s)
user/password from 218.93.124.211: 1 Time(s)


Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe disse
hacker forsøg?
Jeg er ikke meget for at spærre adgangen til min maskine så det kun er nogen
enkelte ip adresser der kan komme igennem da jeg tit har brug for at kunne
komme på maskinen fra diverse steder.

Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
forsøger at komme på men ikke taster passwordet rigtigt så spærres der for
yderliger forsøg?



 
 
Lasse Jensen (20-09-2004)
Kommentar
Fra : Lasse Jensen


Dato : 20-09-04 12:16

Rudi Hansen wrote:
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe disse
> hacker forsøg?
> Jeg er ikke meget for at spærre adgangen til min maskine så det kun er nogen
> enkelte ip adresser der kan komme igennem da jeg tit har brug for at kunne
> komme på maskinen fra diverse steder.

Det nemmeste vil være at skifte port som sshd lytter på. Dette kan gøres
i sshd_config i /etc/ssh/. Alternativt skal du begrænse adgangen til ssh
i din firewall, dvs der er kun tilladt adgang fra de ip'er du vælger,
men som du selv skriver det kan give dig problemer. Portskift vil jeg
anbefale i dit tilfælde.

>
> Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
> forsøger at komme på men ikke taster passwordet rigtigt så spærres der for
> yderliger forsøg?

Dette kan laves via en gennemgang af logfilerne samt en firewall f.eks.
iptables. Når den finder "syndere" så lukker den for adgangen fra det
specifikke ip nummer.
>
>
--
Mvh Lasse Jensen
Svar via email ryger i /dev/null

Alex Holst (20-09-2004)
Kommentar
Fra : Alex Holst


Dato : 20-09-04 12:59

Lasse Jensen <devnull@gymer.dk> wrote:
> Det nemmeste vil v?re at skifte port som sshd lytter p?.

Hvilken forskel/forbedring goer det?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Lasse B. Jensen (20-09-2004)
Kommentar
Fra : Lasse B. Jensen


Dato : 20-09-04 16:00

Alex Holst wrote:
> Lasse Jensen <devnull@gymer.dk> wrote:
>
>>Det nemmeste vil v?re at skifte port som sshd lytter p?.
>
>
> Hvilken forskel/forbedring goer det?
>
Det gør at han kan tilgå sin maskine og han ikke får de entries i
loggen. De programmer der ssh brute forcers forsøger som regel kun port
22 så ved at flytte den undgås disse angreb.

Personligt mener jeg man bare skal have "sikre" password og så kun åbne
for specifikke ip'er. Men det er jo ikke altid den sidste del kan opfyldes.

--
Med venlig hilsen / Best regards
Lasse B. Jensen
Svar via email ryger i /dev/null

Kim Emax (20-09-2004)
Kommentar
Fra : Kim Emax


Dato : 20-09-04 21:53

Lasse B. Jensen wrote:

> Personligt mener jeg man bare skal have "sikre" password og så kun
> åbne for specifikke ip'er. Men det er jo ikke altid den sidste del
> kan opfyldes.

Tror nu nok det script, som bruges i dette tilfælde prøver at udnytte
exploit i en ældre openssh, f.eks. 3.7

Min tanke er, mon det er bedre at have de afprøvede accounts oprettet med
nologin?

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk



Alex Holst (20-09-2004)
Kommentar
Fra : Alex Holst


Dato : 20-09-04 23:17

Kim Emax <newsgroup@remove-emax.dk> wrote:
> Lasse B. Jensen wrote:
>
> > Personligt mener jeg man bare skal have "sikre" password og s? kun
> > ?bne for specifikke ip'er. Men det er jo ikke altid den sidste del
> > kan opfyldes.
>
> Tror nu nok det script, som bruges i dette tilf?lde pr?ver at udnytte
> exploit i en ?ldre openssh, f.eks. 3.7

Mener du "udnytte en sikkerhedsfejl"? I saa fald, kan jeg ikke mindes
eller forstille mig at man kan udnytte en sikkerhedsfejl gennem en
raekke brute-force forsoeg.

Mon ikke der blot er mange dimser paa nettet der efterhaanden taler ssh
og bliver koblet paa med et default password?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Alex Holst (20-09-2004)
Kommentar
Fra : Alex Holst


Dato : 20-09-04 23:03

Lasse B. Jensen <devnull@gymer.dk> wrote:
> Alex Holst wrote:
> > Lasse Jensen <devnull@gymer.dk> wrote:
> >
> >>Det nemmeste vil v?re at skifte port som sshd lytter p?.
> >
> >
> > Hvilken forskel/forbedring goer det?
> >
> Det g?r at han kan tilg? sin maskine og han ikke f?r de entries i
> loggen. De programmer der ssh brute forcers fors?ger som regel kun port
> 22 s? ved at flytte den undg?s disse angreb.

Spild af tid. Hvis angrebene ikke lykkedes, hvorfor saa bekymre sig om
dem? Skal jeg f.eks. flytte min httpd til en anden port, synes du?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Alex Holst (20-09-2004)
Kommentar
Fra : Alex Holst


Dato : 20-09-04 12:14

Rudi Hansen <rsh_remove_this_@pobox.dk> wrote:
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget g?res for at stoppe disse
> hacker fors?g?

Soerg for, at ingen af ovenstaaende kontoer findes -- eller i root's
tilfaelde -- ikke kan logge ind via ssh. Overvej at lade vaere med at bruge
passwords.

http://a.mongers.org/muppets/20040808-sshscan-1

http://mongers.org/ssh

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Stig Johansen (21-09-2004)
Kommentar
Fra : Stig Johansen


Dato : 21-09-04 05:23

Alex Holst wrote:

> Soerg for, at ingen af ovenstaaende kontoer findes -- eller i root's
> tilfaelde -- ikke kan logge ind via ssh. Overvej at lade vaere med at
> bruge passwords.

Jeg ved ikke med jer, men hos mig har 'de' prøvet med *mange* flere navne,
eksempelvis:
adm
data
backup
server
mysql
oracle
apache
wwwrun
.... og mange flere.

Er der nogen indikation af hvad formålet er med de her angrebsforsøg?

--
Med venlig hilsen
Stig Johansen

Mikael Hansen (21-09-2004)
Kommentar
Fra : Mikael Hansen


Dato : 21-09-04 09:51

Stig Johansen wrote:
> Alex Holst wrote:
>
>
>>Soerg for, at ingen af ovenstaaende kontoer findes -- eller i root's
>>tilfaelde -- ikke kan logge ind via ssh. Overvej at lade vaere med at
>>bruge passwords.
>
>
> Jeg ved ikke med jer, men hos mig har 'de' prøvet med *mange* flere navne,
> eksempelvis:
> adm
> data
> backup
> server
> mysql
> oracle
> apache
> wwwrun
> ... og mange flere.
>
> Er der nogen indikation af hvad formålet er med de her angrebsforsøg?
>

Dem har jeg også set, og her er nogle andre eksempler:
rolo
iceuser
horde
cyrus
www
matt
test
www-data
operator
jane
pamela
cip52
cip51
user
web
sybase
master
account
alan
adam
frank
george
henry
john

samt masser af "root" forsøg, men efter hvad jeg kan se er det ikke
lykkedes at gætte mit rootpassword. (ja jeg kan logge direkte ind som root)

Er der forresten nogen der kan sige mig, hvorfor man kan se logindforsøg
fra IP adresser man ellers har lagt i /etc/hosts.deny?

m.v.h. Mikael


Henrik Christian Gro~ (21-09-2004)
Kommentar
Fra : Henrik Christian Gro~


Dato : 21-09-04 20:43

Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:

> Er der forresten nogen der kan sige mig, hvorfor man kan se logindforsøg
> fra IP adresser man ellers har lagt i /etc/hosts.deny?

Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
påvirker services der køres fra inetd, hvilket er ret usædvanligt at
gøre med sshd.

..Henrik

--
Jeg sidder midt i lokalet, og alligevel er det lykkedes mig at tale mig
op i et hjørne.
                   -- citat Peter Makholm

Allan Joergensen (21-09-2004)
Kommentar
Fra : Allan Joergensen


Dato : 21-09-04 21:40

Henrik Christian Grove <grove@sslug.dk> wrote:

> Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
> påvirker services der køres fra inetd, hvilket er ret usædvanligt at
> gøre med sshd.

s/inetd/alle applikationer der anvender tcpwrappers/

--
Allan Joergensen

"Wackland! Home, Surreal Home!" -- Gogo Dodo

Kim Emax (21-09-2004)
Kommentar
Fra : Kim Emax


Dato : 21-09-04 21:50

Henrik Christian Grove wrote:

> Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
> påvirker services der køres fra inetd, hvilket er ret usædvanligt at
> gøre med sshd.

så du siger at det ikke vil beskytte mod uønskede ssh connections at have
smækket en slemmer IP i hosts.deny?

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk



Henrik Christian Gro~ (22-09-2004)
Kommentar
Fra : Henrik Christian Gro~


Dato : 22-09-04 07:59

"Kim Emax" <newsgroup@remove-emax.dk> writes:

> Henrik Christian Grove wrote:
>
> > Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
> > påvirker services der køres fra inetd, hvilket er ret usædvanligt at
> > gøre med sshd.
>
> så du siger at det ikke vil beskytte mod uønskede ssh connections at have
> smækket en slemmer IP i hosts.deny?

Ja, det var jo også det Mikael havde konstateret.

..Henrik

--
Ja selvfølgelig. I forventer vel ikke jeg skal give præcise utvetydige
oplysninger, vel? Det er det man har Makholm til.
                   -- Hanne Munkholm

Christoffer Olsen (22-09-2004)
Kommentar
Fra : Christoffer Olsen


Dato : 22-09-04 08:19

Henrik Christian Grove <grove@sslug.dk> writes:

> > så du siger at det ikke vil beskytte mod uønskede ssh connections at have
> > smækket en slemmer IP i hosts.deny?
>
> Ja, det var jo også det Mikael havde konstateret.

Det virker nu her med OpenSSH på en gentoo-boks, og jeg har også
prøvet det på et par med debian.

etc # cat /etc/hosts.deny
sshd: all
etc # ssh localhost
ssh_exchange_identification: Connection closed by remote host
etc # rm /etc/hosts.deny
etc # ssh localhost
Password:

--
Mvh
Christoffer Olsen

Niels Elgaard Larsen (22-09-2004)
Kommentar
Fra : Niels Elgaard Larsen


Dato : 22-09-04 15:42

Christoffer Olsen wrote:
> Henrik Christian Grove <grove@sslug.dk> writes:
>
>
>>>så du siger at det ikke vil beskytte mod uønskede ssh connections at have
>>>smækket en slemmer IP i hosts.deny?
>>
>>Ja, det var jo også det Mikael havde konstateret.
>
>
> Det virker nu her med OpenSSH på en gentoo-boks, og jeg har også
> prøvet det på et par med debian.

Det er så fordi ssh er oversat med tcpwrappers.
Det er ssh også i Debian.

--
Niels

Christoffer Olsen (22-09-2004)
Kommentar
Fra : Christoffer Olsen


Dato : 22-09-04 17:21

Niels Elgaard Larsen <bov@agol.dk> writes:

> > Det virker nu her med OpenSSH på en gentoo-boks, og jeg har også
> > prøvet det på et par med debian.
>
> Det er så fordi ssh er oversat med tcpwrappers.
> Det er ssh også i Debian.

Du har ret, flaget tcpd er som standard sat i gentoo, og det får
openssh til at depende på tcp-wrappers. Der kan man se :)

--
Mvh
Christoffer Olsen

Niels Elgaard Larsen (22-09-2004)
Kommentar
Fra : Niels Elgaard Larsen


Dato : 22-09-04 16:13

Kim Emax wrote:
> Henrik Christian Grove wrote:
>
>
>>Fordi hosts.deny er en konfigurationsfil for inetd og derfor kun
>>påvirker services der køres fra inetd, hvilket er ret usædvanligt at
>>gøre med sshd.
>
>
> så du siger at det ikke vil beskytte mod uønskede ssh connections at have
> smækket en slemmer IP i hosts.deny?

Det kommer an på om din ssh er oversat med tcpwrappers.
Ellers kan du bruge route reject eller iptables -j DROP.

Det vi mangler er et cron-job, der fanger den slags ssh-angreb og fodrer
IP-adresserne til portsentry.

--
Niels




Kim Emax (22-09-2004)
Kommentar
Fra : Kim Emax


Dato : 22-09-04 18:35

Niels Elgaard Larsen wrote:

> Det vi mangler er et cron-job, der fanger den slags ssh-angreb og
> fodrer IP-adresserne til portsentry.

kig på bfd, som jeg postede andetsteds i tråden. Du er så måske nød til at
smide den i /etc/sysconfig/iptables filen og på en eller anden måde restarte
iptables, hvis du ikke finder det fint nok at smide den i memory

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk



Alex Holst (23-09-2004)
Kommentar
Fra : Alex Holst


Dato : 23-09-04 00:00

Niels Elgaard Larsen wrote:
> Det vi mangler er et cron-job, der fanger den slags ssh-angreb og fodrer
> IP-adresserne til portsentry.

Det forkommer mig, at der er brugt meget mere tid paa dette "problem"
end det er vaerd. Forstaar I hvad der sker i de logfiler der har vaeret
vist, og hvordan man undgaar at vaere saarbar?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Martin Moller Peders~ (23-09-2004)
Kommentar
Fra : Martin Moller Peders~


Dato : 23-09-04 11:56

In <414FEB90.3080008@DELETE.post.cybercity.dk> Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:

>Er der forresten nogen der kan sige mig, hvorfor man kan se logindforsøg
>fra IP adresser man ellers har lagt i /etc/hosts.deny?

Du har ikke startet din sshd gennem (x)inetd ?

/Martin



Mikael Hansen (23-09-2004)
Kommentar
Fra : Mikael Hansen


Dato : 23-09-04 15:29

Martin Moller Pedersen wrote:
> In <414FEB90.3080008@DELETE.post.cybercity.dk> Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:
>
>
>>Er der forresten nogen der kan sige mig, hvorfor man kan se logindfors?
>>fra IP adresser man ellers har lagt i /etc/hosts.deny?
>
>
> Du har ikke startet din sshd gennem (x)inetd ?
>
> /Martin
>
>

i /etc/xinetd.d har jeg følgende fil:
-rw-r--r-- 1 root root 321 feb 4 2003 sshd-xinetd
med følgende indhold:
# default: off
# description: sshd server, xinetd version. \
# Don't run the standalone version if you run \
# this.
service ssh
{
   disable   = yes
   socket_type      = stream
   wait         = no
   user         = root
   server         = /usr/sbin/sshd
   server_args      = -i
   log_on_success      += DURATION USERID
   log_on_failure      += USERID
   nice         = 10
}

er der evt. andre steder man skal se efter, eller nogle
configurationsfiler der skal efterses?

Distro: Mandrake 9.1 PPC

m.v.h. Mikael


Kim Emax (20-09-2004)
Kommentar
Fra : Kim Emax


Dato : 20-09-04 21:57

Rudi Hansen wrote:

> Jeg har nu i den seneste tid set dette i min daglige rapport fra
> LogWatch.
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe
> disse hacker forsøg?
> Jeg er ikke meget for at spærre adgangen til min maskine så det kun
> er nogen enkelte ip adresser der kan komme igennem da jeg tit har
> brug for at kunne komme på maskinen fra diverse steder.
>
> Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
> forsøger at komme på men ikke taster passwordet rigtigt så spærres
> der for yderliger forsøg?

Du kan prøve BFD fra http://www.rfxnetworks.com/bfd.php - det er et script,
der hver 8. minut render dine logfiler igennem og banner evt. forsøg ved at
adde dem til APF firewallen. Har du ikke en sådan kan du rette conf.bfd til
til f.eks. i stedet at hælde IPen eller hosten i /etc/hosts.deny eller
iptables. Den fangede en så sent som idag for mig...

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk



Lars Bonde (21-09-2004)
Kommentar
Fra : Lars Bonde


Dato : 21-09-04 13:29

Jeg vil anbefale at gå på http://www.politiet.dk/itkrim/index.htm og anmelde
det. Jeg her gjort det og det bliver taget meget alvorligt. Send din logfil
til dem.

Lars




"Rudi Hansen" <rsh_remove_this_@pobox.dk> skrev i en meddelelse
news:MEy3d.50831$Vf.2449762@news000.worldonline.dk...
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe disse
> hacker forsøg?
> Jeg er ikke meget for at spærre adgangen til min maskine så det kun er
nogen
> enkelte ip adresser der kan komme igennem da jeg tit har brug for at kunne
> komme på maskinen fra diverse steder.
>
> Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
> forsøger at komme på men ikke taster passwordet rigtigt så spærres der for
> yderliger forsøg?
>
>


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.766 / Virus Database: 513 - Release Date: 17-09-2004



Martin Moller Peders~ (23-09-2004)
Kommentar
Fra : Martin Moller Peders~


Dato : 23-09-04 11:56

In <41501d9f$0$175$edfadb0f@dtext01.news.tele.dk> "Lars Bonde" <larsdaf@pc.dk.tagmigvæk> writes:

>Jeg vil anbefale at gå på http://www.politiet.dk/itkrim/index.htm og anmelde
>det. Jeg her gjort det og det bliver taget meget alvorligt. Send din logfil
>til dem.

>Lars

Hvorfor vil du dog anmelde dem ? Splide politiet tid ?

/Martin



Martin Agersted Jarl (21-09-2004)
Kommentar
Fra : Martin Agersted Jarl


Dato : 21-09-04 23:06

Rudi Hansen wrote:
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------
>
>
> Failed logins from these:
> admin/password from 218.93.124.211: 2 Time(s)
> guest/password from 218.93.124.211: 1 Time(s)
> root/password from 218.93.124.211: 3 Time(s)
> test/password from 218.93.124.211: 2 Time(s)
> user/password from 218.93.124.211: 1 Time(s)
>
>
> Og det er en ny ip adresse hver gang, kan noget gøres for at stoppe disse
> hacker forsøg?
> Jeg er ikke meget for at spærre adgangen til min maskine så det kun er nogen
> enkelte ip adresser der kan komme igennem da jeg tit har brug for at kunne
> komme på maskinen fra diverse steder.
>
> Men kan man lave et eller andet som gør at hvis en bestemt ip adresse
> forsøger at komme på men ikke taster passwordet rigtigt så spærres der for
> yderliger forsøg?
>
>

Pudsigt. Jeg har lige kigget i min egen log, og der ser jeg samme
mønster bare fra et andet ip-nummer. Det pudsige er at maskinen hvorfra
disse forsøg på at logge ind på min maskine kommer fra, er komplet åben!
Man kan umiddelbart logge ind med et af de navne som den selv forsøger
sig med.

Hvad skal man gøre i denne situation?

--Martin

Kim Emax (22-09-2004)
Kommentar
Fra : Kim Emax


Dato : 22-09-04 18:39

Martin Agersted Jarl wrote:

> Pudsigt. Jeg har lige kigget i min egen log, og der ser jeg samme
> mønster bare fra et andet ip-nummer. Det pudsige er at maskinen
> hvorfra disse forsøg på at logge ind på min maskine kommer fra, er
> komplet åben! Man kan umiddelbart logge ind med et af de navne som
> den selv forsøger sig med.

Lugter af at den maskine er ramt og scriptet prøver videre derfra.

> Hvad skal man gøre i denne situation?

lade være med at logge ind, når du ikke har fået lov af ejeren

--
Take Care
Kim Emax - master|minds - Vi tænker IT for dig...
http://www.masterminds.dk - http://www.emax.dk



Martin Agersted Jarl (23-09-2004)
Kommentar
Fra : Martin Agersted Jarl


Dato : 23-09-04 08:41

Kim Emax wrote:
> Martin Agersted Jarl wrote:
>
>
>>Pudsigt. Jeg har lige kigget i min egen log, og der ser jeg samme
>>mønster bare fra et andet ip-nummer. Det pudsige er at maskinen
>>hvorfra disse forsøg på at logge ind på min maskine kommer fra, er
>>komplet åben! Man kan umiddelbart logge ind med et af de navne som
>>den selv forsøger sig med.
>
>
> Lugter af at den maskine er ramt og scriptet prøver videre derfra.
>
>
>>Hvad skal man gøre i denne situation?
>
>
> lade være med at logge ind, når du ikke har fået lov af ejeren
>

For sent. Det var jo på den måde jeg opdagede at den var pivåben. Det
var i øvrigt en Redhat 9 box. Jeg loggede ind. Og skrev en besked til
root om at hans maskine var komplet åben -- og så lagde jeg på. Det er
sikkert ulovligt, men jeg tænkte jeg gjorde vedkommende en tjeneste og
ville ønske at andre gjorde det samme for mig hvis min maskine var
ligeså åben. Det har tilsyneladende virket, for maskinen var i går taget af.

--Martin

Thomas Bjorn Anderse~ (23-09-2004)
Kommentar
Fra : Thomas Bjorn Anderse~


Dato : 23-09-04 16:05

Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:

> Martin Moller Pedersen wrote:
>> In <414FEB90.3080008@DELETE.post.cybercity.dk> Mikael Hansen <mikael.hansen@DELETE.post.cybercity.dk> writes:
>>
>>> Er der forresten nogen der kan sige mig, hvorfor man kan se
>>> logindfors? fra IP adresser man ellers har lagt i /etc/hosts.deny?
>> Du har ikke startet din sshd gennem (x)inetd ?
>> /Martin
>>
>
> i /etc/xinetd.d har jeg følgende fil:
> -rw-r--r-- 1 root root 321 feb 4 2003 sshd-xinetd
> med følgende indhold:

> service ssh
> {
>    disable   = yes
^^^^^^^^^^^^^
Gæt selv hvad den linie betyder

Mon ikke din sshd starter fra /etc/rc?.d/?


--
Thomas Bjorn Andersen
+++ATH

Adam Sjøgren (23-09-2004)
Kommentar
Fra : Adam Sjøgren


Dato : 23-09-04 16:18

On Thu, 23 Sep 2004 09:41:12 +0200, Martin wrote:

> For sent. Det var jo på den måde jeg opdagede at den var pivåben.
> Det var i øvrigt en Redhat 9 box. Jeg loggede ind. Og skrev en
> besked til root om at hans maskine var komplet åben -- og så lagde
> jeg på. Det er sikkert ulovligt, men jeg tænkte jeg gjorde
> vedkommende en tjeneste og ville ønske at andre gjorde det samme for
> mig hvis min maskine var ligeså åben. Det har tilsyneladende virket,
> for maskinen var i går taget af.

Det kan være der var en anden, der loggede ind og kørte /sbin/halt


Mvh.

--
"Who ees thees Kählveen?" Adam Sjøgren
asjo@koldfront.dk

Rudi Hansen (24-09-2004)
Kommentar
Fra : Rudi Hansen


Dato : 24-09-04 13:50

Tak for hjælpen alle sammen, jeg har sat min sshd op til at køre med
openssh-key's så nu føler jeg mig sikker.

"Rudi Hansen" <rsh_remove_this_@pobox.dk> wrote in message
news:MEy3d.50831$Vf.2449762@news000.worldonline.dk...
> Hej Gutter.
>
> Jeg har nu i den seneste tid set dette i min daglige rapport fra LogWatch.
>
> --------------------- SSHD Begin ------------------------



Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408852
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste