Re: màfia russa?

To: debian-user-catalan@lists.debian.org
Cc: rpb <rpbsant@gmail.com>
Subject: Re: màfia russa?
From: Jaume Sabater <jaume@argus.net>
Date: Tue, 24 Apr 2007 11:48:02 +0200
Message-id: <[🔎] 200704241148.02424.jaume@argus.net>
Reply-to: jaume@argus.net
In-reply-to: <[🔎] 56e860690704231528t35520849h471b702bc364ee71@mail.gmail.com>
References: <[🔎] 56e860690704231528t35520849h471b702bc364ee71@mail.gmail.com>

Fa ja uns dies que corre un "virus" que, mitjançant força bruta, pretén entrar 
via ssh com a root.

Et suggeureixo que deneguis el root login del sshd_config.

I no és tant estrany haver de "treure" algú del teu ordinador, fa unes 3 
setmanes m'hi vaig haver de barallar amb un ordinador d'un client, li havien 
configurat un servidor de pelis .avi.

Mira de passar-li el http://www.chkrootkit.com si sospites que ja són dins.

Les iptables t'han d'ajudar a protegir els ports del teu ordinador, si no és 
suficient, pensa en posar-hi algo tant psicòpata com http://www.lids.org.

El Tuesday 24 April 2007 00:28, rpb va escriure:
> La pregunta no és Debian-específica, però com el servidor va amb Sarge,
> doncs... He vist que de cop i volta, sense tenir la mula engegada ni cap
> procés fent ús de la xarxa, el meu servidor s'ha posat a utilitzar-la amb
> força activitat al disc. L'iptraf em donava la següent informació:
>
> TCP Connections (Source Host:Port) ───Packets ─── Bytes Flags  Iface
> ││┌85.31.176.98:39815                       =      12      1152 CLOSED
> eth0  ││└192.168.1.1:22                              =      14
> 1981 CLOSED eth0  ││┌85.31.176.98:40011                       =
> 10       996 DONE   eth0  ││└192.168.1.1:22
>   =      11      1813 -PA-   eth0  │
>
> (Activitat pel port ssh???) Faig un whois i em surt:
>
> % Information related to '85.31.176.96 - 85.31.176.111'
>
> inetnum:        85.31.176.96 - 85.31.176.111
> netname:        PINET-RU_PERESVET
> descr:          JSC Peresvet Invest Office Network
> country:        RU
> admin-c:        AK2150-RIPE
> tech-c:         AK2150-RIPE
> status:         ASSIGNED PA
> mnt-by:         MNT-PERESVET
> source:         RIPE # Filtered
>
> person:         Aleksey Kulikov
> address:        1-ya Dubrovskaya 14/1
> e-mail:         support@peresvet.ru
> phone:          + 7 (095) 7898888
> nic-hdl:        AK2150-RIPE
> source:         RIPE # Filtered
>
> % Information related to '85.31.176.0/24AS35310'
>
> route:          85.31.176.0/24
> descr:          Peresvet-TeleCom (JP2-RIPE) default route policy
> origin:         AS35310
> mnt-by:         MNT-PERESVET
> remarks:        report abuse to noc@peresvet.biz
> remarks:        All reports via other channels will be ignored.
> source:         RIPE # Filtered
>
> MALDISIÓN!!! Tinc a la màfia russa al meu pobre servidor casolà???
> Tenen el meu usuari i password de ssh? Hi ha alguna vulnerabilitat a
> la versió de Sarge del ssh (OpenSSH_3.8.1p1)? què puc fer?
>
> Ricard

-- 
:: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: 
:: Jaume Sabater
:: administrador de sistemes
:: jaume@argus.net

  argus.net TECNOLOGIA CREATIVA 
  "creant en la web des de 1995"

  www.argus.net | tel: 932 92 41 00 | fax: 932 92 42 25 | info@argus.net
  Avgda. Marquès de Comillas, 13 (Poble Espanyol) | 08038 | Barcelona

Reply to:

Follow-Ups:
- Re: màfia russa?
  - From: Jaume Sabater <jaume@argus.net>

References:
- màfia russa?
  - From: rpb <rpbsant@gmail.com>

Prev by Date: màfia russa?
Next by Date: Re: màfia russa?
Previous by thread: màfia russa?
Next by thread: Re: màfia russa?
Index(es):
- Date
- Thread