Re: màfia russa?
Fa ja uns dies que corre un "virus" que, mitjançant força bruta, pretén entrar
via ssh com a root.
Et suggeureixo que deneguis el root login del sshd_config.
I no és tant estrany haver de "treure" algú del teu ordinador, fa unes 3
setmanes m'hi vaig haver de barallar amb un ordinador d'un client, li havien
configurat un servidor de pelis .avi.
Mira de passar-li el http://www.chkrootkit.com si sospites que ja són dins.
Les iptables t'han d'ajudar a protegir els ports del teu ordinador, si no és
suficient, pensa en posar-hi algo tant psicòpata com http://www.lids.org.
El Tuesday 24 April 2007 00:28, rpb va escriure:
> La pregunta no és Debian-específica, però com el servidor va amb Sarge,
> doncs... He vist que de cop i volta, sense tenir la mula engegada ni cap
> procés fent ús de la xarxa, el meu servidor s'ha posat a utilitzar-la amb
> força activitat al disc. L'iptraf em donava la següent informació:
>
> TCP Connections (Source Host:Port) ───Packets ─── Bytes Flags Iface
> ││┌85.31.176.98:39815 = 12 1152 CLOSED
> eth0 ││└192.168.1.1:22 = 14
> 1981 CLOSED eth0 ││┌85.31.176.98:40011 =
> 10 996 DONE eth0 ││└192.168.1.1:22
> = 11 1813 -PA- eth0 │
>
> (Activitat pel port ssh???) Faig un whois i em surt:
>
> % Information related to '85.31.176.96 - 85.31.176.111'
>
> inetnum: 85.31.176.96 - 85.31.176.111
> netname: PINET-RU_PERESVET
> descr: JSC Peresvet Invest Office Network
> country: RU
> admin-c: AK2150-RIPE
> tech-c: AK2150-RIPE
> status: ASSIGNED PA
> mnt-by: MNT-PERESVET
> source: RIPE # Filtered
>
> person: Aleksey Kulikov
> address: 1-ya Dubrovskaya 14/1
> e-mail: support@peresvet.ru
> phone: + 7 (095) 7898888
> nic-hdl: AK2150-RIPE
> source: RIPE # Filtered
>
> % Information related to '85.31.176.0/24AS35310'
>
> route: 85.31.176.0/24
> descr: Peresvet-TeleCom (JP2-RIPE) default route policy
> origin: AS35310
> mnt-by: MNT-PERESVET
> remarks: report abuse to noc@peresvet.biz
> remarks: All reports via other channels will be ignored.
> source: RIPE # Filtered
>
> MALDISIÓN!!! Tinc a la màfia russa al meu pobre servidor casolà???
> Tenen el meu usuari i password de ssh? Hi ha alguna vulnerabilitat a
> la versió de Sarge del ssh (OpenSSH_3.8.1p1)? què puc fer?
>
> Ricard
--
:: :: :: :: :: :: :: :: :: :: :: :: :: :: :: ::
:: Jaume Sabater
:: administrador de sistemes
:: jaume@argus.net
argus.net TECNOLOGIA CREATIVA
"creant en la web des de 1995"
www.argus.net | tel: 932 92 41 00 | fax: 932 92 42 25 | info@argus.net
Avgda. Marquès de Comillas, 13 (Poble Espanyol) | 08038 | Barcelona
Reply to: