Вселенский разум
С нами с 18.10.04
Сообщения: 2563
Рейтинг: 1227
|
Добавлено: 11/02/08 в 19:23 |
Приходят абузы такого рода :
Цитата: | Hello,
Your IP XX.XXX.XXX.X has been logged running brute force attacks against remote systems and is in violation of the HiVelocity AUP. Here is a snippet of log from complaint (full complaint can be found below my signature):
All times are GMT+1.
Feb 9 19:59:52 srv205 sshd[29124]: Invalid user a from ::ffff:XX.XXX.XXX.X
Feb 9 19:59:52 srv205 sshd[29124]: Failed password for invalid user a from
::ffff:XX.XXX.XXX.X port 55699 ssh2
Feb 9 19:59:53 srv205 sshd[29169]: Invalid user b from ::ffff:XX.XXX.XXX.X
Feb 9 19:59:53 srv205 sshd[29169]: Failed password for invalid user b from
::ffff:XX.XXX.XXX.X port 56057 ssh2
Feb 9 19:59:55 srv205 sshd[29177]: Invalid user c from ::ffff:XX.XXX.XXX.X
Feb 9 19:59:55 srv205 sshd[29177]: Failed password for invalid user c from
::ffff:XX.XXX.XXX.X port 56176 ssh2
Feb 9 19:59:56 srv205 sshd[29199]: Invalid user d from ::ffff:XX.XXX.XXX.X
Once you have secured the server, you may then request removal of the NULL ROUTE. To advise that you have secured the server you must log a trouble ticket and list actions taken. The trouble ticket system is located here:
https://support.hivelocity.net/supportsuite/index.php
Thank you!
-Jay
Sr. Systems Administrator
HiVelocity Engineering Dept.
http://www.hivelocity.net
CONFIDENTIALITY NOTICE: The information in this e-mail message and any of its attachments is privileged and confidential and is intended solely for the indicated recipient. If you received this message in error, please delete it without copying or reading it, and notify the sender by return e-mail or by calling 888-869-4678 Additionally, this communication is not intended to convey legal advice to the recipient.
****************************************************************
Below you may find a copy of the email message sent into abuse.
****************************************************************
Dear Colleagues,
Would you please be so kind to remove that user NOW?
A report will be great.
All times are GMT+1.
Feb 9 19:59:52 srv205 sshd[29124]: Invalid user a from ::ffff:XX.XXX.XXX.X
Feb 9 19:59:52 srv205 sshd[29124]: Failed password for invalid user a from
::ffff:XX.XXX.XXX.X port 55699 ssh2
Feb 9 19:59:53 srv205 sshd[29169]: Invalid user b from ::ffff:XX.XXX.XXX.X
Feb 9 19:59:53 srv205 sshd[29169]: Failed password for invalid user b from
::ffff:XX.XXX.XXX.X port 56057 ssh2
Feb 9 19:59:55 srv205 sshd[29177]: Invalid user c from ::ffff:XX.XXX.XXX.X
Feb 9 19:59:55 srv205 sshd[29177]: Failed password for invalid user c from
::ffff:XX.XXX.XXX.X port 56176 ssh2
Feb 9 19:59:56 srv205 sshd[29199]: Invalid user d from ::ffff:XX.XXX.XXX.X
Feb 9 19:59:56 srv205 sshd[29199]: Failed password for invalid user d from
::ffff:XX.XXX.XXX.X port 56279 ssh2
Feb 9 20:01:56 srv205 sshd[29216]: fatal: Timeout before authentication for
::ffff:XX.XXX.XXX.X
Feb 10 05:00:45 srv205 sshd[16356]: Did not receive identification string
from ::ffff:XX.XXX.XXX.X
Feb 10 10:07:13 srv205 sshd[8979]: Invalid user t1na from
::ffff:XX.XXX.XXX.X
Feb 10 10:07:14 srv205 sshd[8979]: Failed password for invalid user t1na
from ::ffff:XX.XXX.XXX.X port 38369 ssh2
Feb 10 10:07:15 srv205 sshd[8983]: Invalid user t1na from
::ffff:XX.XXX.XXX.X
Feb 10 10:07:15 srv205 sshd[8983]: Failed password for invalid user t1na
from ::ffff:XX.XXX.XXX.X port 38474 ssh2
Feb 10 10:07:16 srv205 sshd[8985]: Invalid user logic from
::ffff:XX.XXX.XXX.X
Feb 10 10:07:16 srv205 sshd[8985]: Failed password for invalid user logic
from ::ffff:XX.XXX.XXX.X port 38565 ssh2
Feb 10 10:07:17 srv205 sshd[8989]: Invalid user diablo from
::ffff:XX.XXX.XXX.X
Feb 10 10:07:17 srv205 sshd[8989]: Failed password for invalid user diablo
from ::ffff:XX.XXX.XXX.X port 38664 ssh2
Feb 10 10:09:17 srv205 sshd[8991]: fatal: Timeout before authentication for
::ffff:XX.XXX.XXX.X
Feb 11 00:06:02 srv205 sshd[29071]: Invalid user alexis from
::ffff:XX.XXX.XXX.X
Feb 11 00:06:02 srv205 sshd[29071]: Failed password for invalid user alexis
from ::ffff:XX.XXX.XXX.X port 48369 ssh2
Feb 11 00:06:03 srv205 sshd[29073]: Invalid user art from
::ffff:XX.XXX.XXX.X
Feb 11 00:06:03 srv205 sshd[29073]: Failed password for invalid user art
from ::ffff:XX.XXX.XXX.X port 48513 ssh2
Feb 11 00:06:04 srv205 sshd[29075]: Invalid user desiree from
::ffff:XX.XXX.XXX.X
Feb 11 00:06:04 srv205 sshd[29075]: Failed password for invalid user desiree
from ::ffff:XX.XXX.XXX.X port 48624 ssh2
Feb 11 00:06:05 srv205 sshd[29077]: Invalid user abel from
::ffff:XX.XXX.XXX.X
Feb 11 00:06:06 srv205 sshd[29077]: Failed password for invalid user abel
from ::ffff:XX.XXX.XXX.X port 48724 ssh2
Feb 11 00:06:07 srv205 sshd[29086]: Invalid user doris from
::ffff:XX.XXX.XXX.X
Feb 11 00:06:07 srv205 sshd[29086]: Failed password for invalid user doris
from ::ffff:XX.XXX.XXX.X port 48866 ssh2
Feb 11 15:45:48 srv205 sshd[10906]: Invalid user a from ::ffff:XX.XXX.XXX.X
Feb 11 15:45:49 srv205 sshd[10906]: Failed password for invalid user a from
::ffff:XX.XXX.XXX.X port 37650 ssh2
Feb 11 15:45:50 srv205 sshd[10916]: Invalid user b from ::ffff:XX.XXX.XXX.X
Feb 11 15:45:50 srv205 sshd[10916]: Failed password for invalid user b from
::ffff:XX.XXX.XXX.X port 37761 ssh2
Feb 11 15:45:51 srv205 sshd[10924]: Invalid user c from ::ffff:XX.XXX.XXX.X
Feb 11 15:45:51 srv205 sshd[10924]: Failed password for invalid user c from
::ffff:XX.XXX.XXX.X port 37830 ssh2
Mit freundlichen Grüßen / with best regards
Hostmaster of the day
----
Office:
Twosteps Ltd. & CO KG
Flughafenrandstrasse
70629 Stuttgart-Flughafen
Fon: (+49) 711-99 088 49
Fax: (+49) 711-99 088 51
Officetime 8:30 a.m. to 5:30 p.m.
Handelsregisternummer HRA 2610
Registergericht Nürtingen
Geschäftsführer Ralf Kayser
Falls Sie Fragen oder Anregungen haben, erreichen Sie uns zwischen 8:30 Uhr
und 17:30 Uhr unter der oben angegebenen Rufnummer. Zu jeder Zeit erreichen
Sie unser Supportteam per Mail an support@twosteps.net. Selbstverständlich
rufen wir Sie auch gerne zurück. |
на сервере пять ip пытются брутфорсить судя по всему только с одного ip, на другие ip жалоб нет, но самое страшное что проблемный ip является главным, его уже отрубили, в админку не попасть. Что делать в какую сторону копать ? Подскажите плиз.
|
|
|
|
С нами с 28.02.03
Сообщения: 8542
Рейтинг: 1609
|
Добавлено: 11/02/08 в 19:47 |
бегом к хостеру
есле доступа по сети уже нет то
проси квм и руками поднимай сервак либо хостера попроси
+ пускай закроют фаирволом ip скаторого ломяца
при нормальном сапорте достаточно сказать что ест подозоения на взлом оадьше это хлеб админов
|
|
Сдам место в подписи. Предложения в личку.
|
8
|
|
|
Вселенский разум
С нами с 18.10.04
Сообщения: 2563
Рейтинг: 1227
|
Добавлено: 11/02/08 в 19:54 |
что такое квм ? про файрвол спасибо попробую поговорить, но я не думаю что ip с которого ломятся один и тот же постоянно.
|
|
|
|
С нами с 19.11.04
Сообщения: 881
Рейтинг: 837
|
Добавлено: 11/02/08 в 20:12 |
по-умолчанию все исходящие соединения идут с главного ип на интерфейсе, если прога не биндится на другой.
надо просить kvm или включит ь доступ временно.
там стоит линукс? нужно обновлять срочно, сегодня появился мега-эксплоит, которым можно сломать(local root) почти любое ядро, начиная с 2.6.17. ну и искать этот брутфорсер в процессах и тп.
|
|
|
|
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
Добавлено: 11/02/08 в 21:20 |
А ты уверен что поломали? Например ко мне на каждый сервак по десятку ипов ежедневно долбятся на ssh и рутом и другими логинами. Я уже даже эту хуету про invalid user из отчетов мониторинга вырезал.
|
|
|
|
Вселенский разум
С нами с 18.10.04
Сообщения: 2563
Рейтинг: 1227
|
Добавлено: 11/02/08 в 21:26 |
Gourad писал: | А ты уверен что поломали? Например ко мне на каждый сервак по десятку ипов ежедневно долбятся на ssh и рутом и другими логинами. Я уже даже эту хуету про invalid user из отчетов мониторинга вырезал. |
да я хз что происходит, приходят абузы в дц и все, мне в саппорте сказали чтобы я проверил сервер, а я хз с какой стороны копать. Теперь вот из дц прислали уведомление что ип отрублен проблемный. Вот я и спрашиваю порядок действий.
|
|
|
|
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
Добавлено: 11/02/08 в 21:27 |
На hivelocity.net обычно убирают из роутинга главную айпишку, остальные продолжают работать. Зайти можно на любую другую и убрать такую хрень. Ищи скрипты, прокси и т.п.
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 11/02/08 в 21:46 |
Mike Fox писал: | там стоит линукс? нужно обновлять срочно, сегодня появился мега-эксплоит, которым можно сломать(local root) почти любое ядро, начиная с 2.6.17. ну и искать этот брутфорсер в процессах и тп. |
А по-подробнее можно ссылкой ?
|
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 11/02/08 в 21:48 |
Стартеру: Если сам с сервака не коннектишься по SSH , то как временное но быстрое решение рекоммендую заблокировать файерволом исходящие TCP на 22 порт.
|
|
|
|
С нами с 28.02.03
Сообщения: 8542
Рейтинг: 1609
|
Добавлено: 11/02/08 в 22:40 |
Kosmos писал: | да я хз что происходит, приходят абузы в дц и все, мне в саппорте сказали чтобы я проверил сервер, а я хз с какой стороны копать. Теперь вот из дц прислали уведомление что ип отрублен проблемный. Вот я и спрашиваю порядок действий. |
есле все так плохо то иши админа каторый сможет пофиксеть
время тут не натвоей стороне ткшо нафоруме ты врятле сможеш решить быстро
усле утвоего хостера руки не оттуда ростут раз вырубил ip исказал крутись как шочеш
то стукнись в сапорт другова хоста
есле ребята свободны то за пориделеную плату тебе помогут нахудой канец порекамендуют ковонибуть
ps:
KVM-switch (KVM — аббревиатура от Keyboard, Video, Mouse) — устройство, позволяющее посети у провлять машиной на прямую
и видеть что у нее на монеторе
http://www.ixbt.com/comm/kvm-theory.shtml
|
|
Сдам место в подписи. Предложения в личку.
|
8
|
|
|
С нами с 28.02.03
Сообщения: 8542
Рейтинг: 1609
|
Добавлено: 11/02/08 в 22:57 |
Kosmos писал: | чтоно я не думаю что ip с которого ломятся один и тот же постоянно. |
невопрос за прити все ip кроме своего на 22 парту
я вот когда получаю новый сервак всегда
закрываю доступ с чужих ip на ftp и ssh
|
|
Сдам место в подписи. Предложения в личку.
|
8
|
|
|
С нами с 11.06.03
Сообщения: 1266
Рейтинг: 950
|
Добавлено: 12/02/08 в 00:08 |
Alexs писал: | невопрос за прити все ip кроме своего на 22 парту
я вот когда получаю новый сервак всегда
закрываю доступ с чужих ip на ftp и ssh |
Дык у чела проблема обратная. Какай-та падла с его сервака на 22 порты других ломится.
|
|
|
|
С нами с 07.09.04
Сообщения: 763
Рейтинг: 874
|
Добавлено: 13/02/08 в 20:21 |
+1 закрыть входящие-исходящие пакеты по ssh файрволом. окромя ip овнера. и найти админа который разрулит ситуевину.
|
|
|
|