RE: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)

To: "Recai Oktas" <roktas@omu.edu.tr>, <debian-user-turkish@lists.debian.org>
Subject: RE: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)
From: "Emre Sevinc" <emres@bilgi.edu.tr>
Date: Sat, 10 Sep 2005 13:37:17 +0300
Message-id: <[🔎] 9940BA60F8E6414F9F0307DD411BCF6906BF92D5@Ex2k.bilgi.networks>

Title: RE: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)

-----Original Message-----
From: Recai Oktas [mailto:roktas@omu.edu.tr]
Sent: Sat 9/10/2005 1:21 PM
To: debian-user-turkish@lists.debian.org
Subject: Re: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)

>Merhaba,

>>* Emre Sevinc [2005-09-10 10:48:36+0300]
>> gkrellm sayesinde bir anda eth0 arayüzü üzerinden beklenmedik
>> bir trafik oldugunu gördüm, bayram degil seyran degil bir sey
>> yollamiyorum, bir sey almiyorum, nereden cikti bu trafik dedim.
>>
>> netstat ile biraz bakinca bol bol ssh ile karsilastim ve beklenmedik bir
>> durum oldugunu düsündüm, sshd'yi hemen durdurdum ve sonra da /var/log/auth.log'a bakinca
>> asagida göreceginiz satirlar ile karsilastim.
>>
>> Anlayabildigim kadari ile tek bir makina, otomatik
>> bir program araciligi ile bazi kullanici isimlerini/parolalarini
>> deneyerek benim sistemi bombardimana tuttu ve ssh üzerinden giris
>> yapmaya calisti (hangi programla? nasil? bilemiyorum tabii).
>>
>> Sistemim Debian GNU/Linux (unstable). ADSL router/firewall modem arkasindayim.
>>
>> Asagidaki loga bakip daha detayli analiz yapabilecek
>> ve önerilerde bulunabilecek olan varsa sevinirim.
[...]
>> Sep 10 01:00:21 debian sshd[16709]: Illegal user jack from ::ffff:83.170.72.51
>> Sep 10 01:00:22 debian sshd[16709]: error: Could not get shadow information for NOUSER
>> Sep 10 01:00:22 debian sshd[16709]: Failed password for illegal user jack from ::ffff:83.170.72.51 port 38231 ssh2
>>[...]

>Bu (otomatik olarak yurutulen) bir brute-force atak saniyorum, zayif
>parola ariyor. Kullandigin parolayi tedbirli secmissen ciddi bir
>problem olacagini sanmiyorum. Istersen debian-security arsivlerini bir
>incele. Bu tur ataklar icin daha ayrintili bilgi bulabilirsin.

Tesekkürler, biraz daha bakinacagim etrafa. Bu arada fail2ban'a ek olarak
sunlarla karsilastim (öneriler dogrultusunda):

http://www.csc.liv.ac.uk/~greg/sshdfilter/

http://sodaphish.com/files/tattle

http://lcamtuf.coredump.cx/p0f.shtml

http://www.whitedust.net/article/27/Recent%20SSH%20Brute-Force%20Attacks/

http://clustrmaps.com/index.htm

Reply to:

Prev by Date: Re: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)
Next by Date: Re: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)
Previous by thread: Re: ssh: Kücük bir gece yarisi saldirisi... (görüsler, öneriler, vs.)
Next by thread: PUBKEY problemi -unstable-
Index(es):
- Date
- Thread