[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Göra burken säker?



On Tue, 01 Mar 2005 10:22:54 +0100, timebandit <timebandit@dzn.mine.nu> wrote:
> Mitt första intrång imorse då :/
> Några bra sätt/knep/rekommendationer att göra burken säkrare?
> Kör Debian testing med 2.4.29 och endast fåtal portar öppna som,
> 22,25, 80,161, 443, 993...
> Mar  1 04:51:40 DZN sshd[23046]: Failed password for illegal user sonya from 198.104.144.59 port 42522 ssh2
> Mar  1 04:51:41 DZN sshd[23050]: Illegal user tony from 198.104.144.59
> Mar  1 04:51:41 DZN sshd[23050]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:41 DZN sshd[23050]: Failed password for illegal user tony from 198.104.144.59 port 42561 ssh2
> Mar  1 04:51:43 DZN sshd[23052]: Illegal user just from 198.104.144.59
> Mar  1 04:51:43 DZN sshd[23052]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:43 DZN sshd[23052]: Failed password for illegal user just from 198.104.144.59 port 42604 ssh2
> Mar  1 04:51:44 DZN sshd[23054]: Illegal user justice from 198.104.144.59
> Mar  1 04:51:44 DZN sshd[23054]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:44 DZN sshd[23054]: Failed password for illegal user justice from 198.104.144.59 port 42646 ssh2
> Mar  1 04:51:46 DZN sshd[23056]: Illegal user bank from 198.104.144.59
> Mar  1 04:51:46 DZN sshd[23056]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:46 DZN sshd[23056]: Failed password for illegal user bank from 198.104.144.59 port 42695 ssh2
> Mar  1 04:51:47 DZN sshd[23060]: Illegal user vip from 198.104.144.59
> Mar  1 04:51:47 DZN sshd[23060]: error: Could not get shadow information for NOUSER
> Mar  1 04:51:47 DZN sshd[23060]: Failed password for illegal user vip from 198.104.144.59 port 42735 ssh2

Jag får massor med såna här också.

> Mar  1 06:25:04 DZN su[26029]: + ??? root:nobody
> Mar  1 06:25:04 DZN su[26029]: (pam_unix) session opened for user nobody by (uid=0)
> 
> Även en massa Failed password for root som finns i loggarna :/ Dem
> lyckades tydligen ta sig in i morse men han dra ut nätverkskabeln innan
> dem gjorde nån skada... dem körde nått med find men hittar inget i
> loggarna där det visar vad dem gjorde :/

Tja, ett bra första steg är ju att se till att det står
  PermitRootLogin no
i /etc/ssh/sshd_config.

Jag gör inte så jättemycket säkrande själv, men jag kör chkrootkit och
logcheck (för att slippa gräva i loggarna själv)


/Martin



Reply to: