Re: bind

To: debian-russian@lists.debian.org
Subject: Re: bind
From: Pavel Ammosov <apavel@wapper.ru>
Date: Thu, 4 Aug 2005 23:04:13 +0400
Message-id: <[🔎] 20050804190413.GA21312@badger.wapper.ru>
In-reply-to: <[🔎] 42F21395.5040504@tinuviel.ru>
References: <[🔎] 42F21395.5040504@tinuviel.ru>

On Thu, Aug 04, 2005 at 05:09:41PM +0400, Sergio wrote:
> Глянул на bindграф -- увидел, что с 13:09 по 13:27 кто-то много чего
> спрашивал у бинда. (A and PTR queries) посмотрел по логам -- все эти
> запросы было с 127.0.0.1 более того, никого из людей на машине в это
> время не было...
> 
> были следуюший запросы:
> 
> 36.33.47.64.in-addr.arpa IN PTR
> ftp.webspace4me.net IN A
> venus.netrelated.com IN A
> webspace4me.net IN A
> www.webspace4me.net IN A
> 
> у кого-нить есть предположения, как понять, что это было?
> 

Посмотри в лог ssh (обычно /var/log/auth.log).  Я думаю, это приходил
червяк, которые подбирал логины-пароли к ssh и делал множество
коннектов с 13:09 до 13:27. ssh ресолвит в DNS адреса всех входящих
соединений в обоих направлениях: IP в имя и затем полученные имена в
адреса, для контроля.

Reply to:

Follow-Ups:
- Re: bind
  - From: Sergio <sergio@tinuviel.ru>

References:
- bind
  - From: Sergio <sergio@tinuviel.ru>

Prev by Date: mutt + folder-hook
Next by Date: Re: bind
Previous by thread: Re: bind
Next by thread: Re: bind
Index(es):
- Date
- Thread