On Tue, 1 Mar 2005 17:22, timebandit wrote: > Mitt första intrång imorse då :/ > Några bra sätt/knep/rekommendationer att göra burken säkrare? > ... > sshd[23060]: Illegal user vip from 198.104.144.59 Mar 1 04:51:47 DZN > sshd[23060]: error: Could not get shadow information for NOUSER Mar > 1 04:51:47 DZN sshd[23060]: Failed password for illegal user vip from > 198.104.144.59 port 42735 ssh2 > > Mar 1 06:25:04 DZN su[26029]: + ??? root:nobody > Mar 1 06:25:04 DZN su[26029]: (pam_unix) session opened for user > nobody by (uid=0) En överväldigande majoritet av dessa attacker kommer från Kina och Sydkorea, liksom många attacker på port 80 och spamutskick. Så länge så är fallet och så länge man inte har skäl att slå särskild vakt om sina besökare från dessa länder kan det vara värt att köra bifogat skript. > Även en massa Failed password for root som finns i loggarna :/ Dem > lyckades tydligen ta sig in i morse men han dra ut nätverkskabeln > innan dem gjorde nån skada... dem körde nått med find men hittar > inget i loggarna där det visar vad dem gjorde :/ Ha inga onödiga användare, och se bland annat till att ha följande rader i /etc/ssh/sshd_config: LoginGraceTime sekunder_som_inloggning_får_ta PermitRootLogin no AllowUsers användarnamn_som_får_logga_in PermitRootLogin no Givetvis finns det mycket annat att tänka på, men just detta skyddar bra mot den typen av attack som du blivit utsatt för. Mer information om denna finns här: http://www.security.org.sg/gtec/honeynet/viewdiary.php?diary=20041102 http://dev.gentoo.org/~krispykringle/sshnotes.txt http://www.phrack.org/show.php?p=59&a=8 -- Alex Nordstrom http://lx.n3.net/ Skicka inte kopior på uppföljande meddelanden till mig; jag prenumererar på debian-user-swedish.
Attachment:
byechinakorea
Description: application/shellscript