Re: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)
Merhaba,
* Emre Sevinc [2005-09-10 10:48:36+0300]
> gkrellm sayesinde bir anda eth0 arayüzü üzerinden beklenmedik
> bir trafik oldugunu gördüm, bayram degil seyran degil bir sey
> yollamiyorum, bir sey almiyorum, nereden cikti bu trafik dedim.
>
> netstat ile biraz bakinca bol bol ssh ile karsilastim ve beklenmedik bir
> durum oldugunu düsündüm, sshd'yi hemen durdurdum ve sonra da /var/log/auth.log'a bakinca
> asagida göreceginiz satirlar ile karsilastim.
>
> Anlayabildigim kadari ile tek bir makina, otomatik
> bir program araciligi ile bazi kullanici isimlerini/parolalarini
> deneyerek benim sistemi bombardimana tuttu ve ssh üzerinden giris
> yapmaya calisti (hangi programla? nasil? bilemiyorum tabii).
>
> Sistemim Debian GNU/Linux (unstable). ADSL router/firewall modem arkasindayim.
>
> Asagidaki loga bakip daha detayli analiz yapabilecek
> ve önerilerde bulunabilecek olan varsa sevinirim.
[...]
> Sep 10 01:00:21 debian sshd[16709]: Illegal user jack from ::ffff:83.170.72.51
> Sep 10 01:00:22 debian sshd[16709]: error: Could not get shadow information for NOUSER
> Sep 10 01:00:22 debian sshd[16709]: Failed password for illegal user jack from ::ffff:83.170.72.51 port 38231 ssh2
[...]
Bu (otomatik olarak yurutulen) bir brute-force atak saniyorum, zayif
parola ariyor. Kullandigin parolayi tedbirli secmissen ciddi bir
problem olacagini sanmiyorum. Istersen debian-security arsivlerini bir
incele. Bu tur ataklar icin daha ayrintili bilgi bulabilirsin.
--
roktas
Reply to: