[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)



Merhaba,

* Emre Sevinc [2005-09-10 10:48:36+0300]
> gkrellm sayesinde bir anda eth0 arayüzü üzerinden beklenmedik
> bir trafik oldugunu gördüm, bayram degil seyran degil bir sey 
> yollamiyorum, bir sey almiyorum, nereden cikti bu trafik dedim.
> 
> netstat ile biraz bakinca bol bol ssh ile karsilastim ve beklenmedik bir 
> durum oldugunu düsündüm, sshd'yi hemen durdurdum ve sonra da /var/log/auth.log'a bakinca
> asagida göreceginiz satirlar ile karsilastim.
> 
> Anlayabildigim kadari ile tek bir makina, otomatik
> bir program araciligi ile bazi kullanici isimlerini/parolalarini
> deneyerek benim sistemi bombardimana tuttu ve ssh üzerinden giris
> yapmaya calisti (hangi programla? nasil? bilemiyorum tabii).
> 
> Sistemim Debian GNU/Linux (unstable). ADSL router/firewall modem arkasindayim.
> 
> Asagidaki loga bakip daha detayli analiz yapabilecek
> ve önerilerde bulunabilecek olan varsa sevinirim. 
[...]
> Sep 10 01:00:21 debian sshd[16709]: Illegal user jack from ::ffff:83.170.72.51
> Sep 10 01:00:22 debian sshd[16709]: error: Could not get shadow information for NOUSER
> Sep 10 01:00:22 debian sshd[16709]: Failed password for illegal user jack from ::ffff:83.170.72.51 port 38231 ssh2
[...]

Bu (otomatik olarak yurutulen) bir brute-force atak saniyorum, zayif
parola ariyor.  Kullandigin parolayi tedbirli secmissen ciddi bir
problem olacagini sanmiyorum.  Istersen debian-security arsivlerini bir
incele.  Bu tur ataklar icin daha ayrintili bilgi bulabilirsin.

-- 
roktas



Reply to: