Pessoal estava olhando meu log, esta manha, e notei as seguintes linhas abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que notei teria alguem tentando acessar meu servidor, preciso ver rapido isso, conto com a colaboração de todos.
Mar 27 07:47:21 pluto.adere.com sshd[6007]: input_userauth_request: illegal user projetos Mar 27 07:47:21 pluto.adere.com sshd[6007]: Could not reverse map address 129.244.24.198. Mar 27 07:47:21 pluto.adere.com sshd[6007]: Failed password for illegal user projetos from 129.244.24.198 port 57093 ssh2 Mar 27 07:47:21 pluto.adere.com sshd[6007]: Received disconnect from 129.244.24.198: 11: Bye Bye
Mar 27 07:47:23 pluto.adere.com sshd[6008]: input_userauth_request: illegal user projetos Mar 27 07:47:23 pluto.adere.com sshd[6008]: Could not reverse map address 129.244.24.198. Mar 27 07:47:23 pluto.adere.com sshd[6008]: Failed password for illegal user projetos from 129.244.24.198 port 57163 ssh2 Mar 27 07:47:23 pluto.adere.com sshd[6008]: Received disconnect from 129.244.24.198: 11: Bye Bye
Técnicamente eu não sei... mas deve haver algum orgão que pode ser contactado para saber de onde seria esse Ip não?
Em 27/03/06, Adere - Levi / Analista de Suporte Linux levi.alves@adere.com escreveu:
Pessoal estava olhando meu log, esta manha, e notei as seguintes linhas abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que notei teria alguem tentando acessar meu servidor, preciso ver rapido isso, conto com a colaboração de todos.
Mar 27 07:47:21 pluto.adere.com sshd[6007]: input_userauth_request: illegal user projetos Mar 27 07:47:21 pluto.adere.com sshd[6007]: Could not reverse map address 129.244.24.198. Mar 27 07:47:21 pluto.adere.com sshd[6007]: Failed password for illegal user projetos from 129.244.24.198 port 57093 ssh2 Mar 27 07:47:21 pluto.adere.com sshd[6007]: Received disconnect from 129.244.24.198: 11: Bye Bye
Mar 27 07:47:23 pluto.adere.com sshd[6008]: input_userauth_request: illegal user projetos Mar 27 07:47:23 pluto.adere.com sshd[6008]: Could not reverse map address 129.244.24.198. Mar 27 07:47:23 pluto.adere.com sshd[6008]: Failed password for illegal user projetos from 129.244.24.198 port 57163 ssh2 Mar 27 07:47:23 pluto.adere.com sshd[6008]: Received disconnect from 129.244.24.198: 11: Bye Bye
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Rafael Brito Gomes Sistema de Informação Unifacs
III Festival de Software Livre da Bahia 24, 25 e 26 de agosto de 2006 http://festival.softwarelivre.org
Rafael Gomes wrote:
Técnicamente eu não sei... mas deve haver algum orgão que pode ser contactado para saber de onde seria esse Ip não?
Rodei o seguinte comando: # dig -x 129.244.24.198
;; QUESTION SECTION: ;198.24.244.129.in-addr.arpa. IN PTR
;; AUTHORITY SECTION: 244.129.in-addr.arpa. 10794 IN SOA whipple.utulsa.edu. dnsadmin.utulsa.edu. 2006032201 3600 300 3600000 14400
Acho que o http//registro.br, seria uma boa fonte de informações. Espero ter ajudado,
Clóvis
Em 27/03/06, *Adere - Levi / Analista de Suporte Linux* <levi.alves@adere.com mailto:levi.alves@adere.com> escreveu:
Pessoal estava olhando meu log, esta manha, e notei as seguintes linhas abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que notei teria alguem tentando acessar meu servidor, preciso ver rapido isso, conto com a colaboração de todos. Mar 27 07:47:21 pluto.adere.com <http://pluto.adere.com> sshd[6007]: input_userauth_request: illegal user projetos Mar 27 07:47:21 pluto.adere.com <http://pluto.adere.com> sshd[6007]: Could not reverse map address 129.244.24.198 <http://129.244.24.198>. Mar 27 07:47:21 pluto.adere.com <http://pluto.adere.com> sshd[6007]: Failed password for illegal user projetos from 129.244.24.198 <http://129.244.24.198> port 57093 ssh2 Mar 27 07:47:21 pluto.adere.com <http://pluto.adere.com> sshd[6007]: Received disconnect from 129.244.24.198 <http://129.244.24.198>: 11: Bye Bye Mar 27 07:47:23 pluto.adere.com <http://pluto.adere.com> sshd[6008]: input_userauth_request: illegal user projetos Mar 27 07:47:23 pluto.adere.com <http://pluto.adere.com> sshd[6008]: Could not reverse map address 129.244.24.198 <http://129.244.24.198>. Mar 27 07:47:23 pluto.adere.com <http://pluto.adere.com> sshd[6008]: Failed password for illegal user projetos from 129.244.24.198 <http://129.244.24.198> port 57163 ssh2 Mar 27 07:47:23 pluto.adere.com <http://pluto.adere.com> sshd[6008]: Received disconnect from 129.244.24.198 <http://129.244.24.198>: 11: Bye Bye -- Fedora-users-br mailing list Fedora-users-br@redhat.com <mailto:Fedora-users-br@redhat.com> https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Rafael Brito Gomes Sistema de Informação Unifacs
III Festival de Software Livre da Bahia 24, 25 e 26 de agosto de 2006 http://festival.softwarelivre.org
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
Olá,
Isso é um ataque de força bruta automatizado para tentar logar no seu sistema com usuarios/senhas comuns e fracas. Troque a porta padrão do seu ssh para não ficar recebendo essas tentativas. Edite o arquivo /etc/ssh/sshd_config e altere a porta padrão. Outras configurações que você pode fazer é não permitir login de root via SSH, e utilizar a diretiva AllowUsers para restringir que usuários podem ter acesso ao SSH. Para maiores informações, da uma olhada aqui: http://www.dicas-l.com.br/dicas-l/20050113.php
Para saber quem é o dono do bloco de um determinado IP, você no linux pode digitar: # whois 129.244.24.198 [Querying whois.arin.net] [whois.arin.net]
OrgName: University of Tulsa OrgID: UNIVER-107 Address: 600 South College Ave City: Tulsa StateProv: OK PostalCode: 74104 Country: US
NetRange: 129.244.0.0 - 129.244.255.255 CIDR: 129.244.0.0/16 NetName: UTULSANET NetHandle: NET-129-244-0-0-1 Parent: NET-129-0-0-0-0 NetType: Direct Assignment NameServer: WHIPPLE.UTULSA.EDU NameServer: RIGEL.UTULSA.EDU Comment: RegDate: 1988-03-28 Updated: 2002-04-07
RTechHandle: ZU84-ARIN RTechName: University of Tulsa RTechPhone: +1-918-631-2366 RTechEmail: dnsadmin@utulsa.edu
Parece que alguma máquina na rede dessa universidade (University of Tulsa) foi comprometida e está tentando atacar outras máquinas com esse script de ataque de força bruta automatizado.
Mande um e-mail para: abuse@utulsa.edu e dnsadmin@utulsa.edu Reportando o incidente e com os logs das tentativas.
Pessoal estava olhando meu log, esta manha, e notei as seguintes linhas abaixo, tem como eu descobrir de onde esta vindo esse ip?, pois pelo que notei teria alguem tentando acessar meu servidor, preciso ver rapido isso, conto com a colaboração de todos.
Mar 27 07:47:21 pluto.adere.com sshd[6007]: input_userauth_request: illegal user projetos Mar 27 07:47:21 pluto.adere.com sshd[6007]: Could not reverse map address 129.244.24.198. Mar 27 07:47:21 pluto.adere.com sshd[6007]: Failed password for illegal user projetos from 129.244.24.198 port 57093 ssh2 Mar 27 07:47:21 pluto.adere.com sshd[6007]: Received disconnect from 129.244.24.198: 11: Bye Bye
Mar 27 07:47:23 pluto.adere.com sshd[6008]: input_userauth_request: illegal user projetos Mar 27 07:47:23 pluto.adere.com sshd[6008]: Could not reverse map address 129.244.24.198. Mar 27 07:47:23 pluto.adere.com sshd[6008]: Failed password for illegal user projetos from 129.244.24.198 port 57163 ssh2 Mar 27 07:47:23 pluto.adere.com sshd[6008]: Received disconnect from 129.244.24.198: 11: Bye Bye
-- Abraço! Alejandro Flores http://www.triforsec.com.br/
br-users@lists.fedoraproject.org