auth.log............... [Archivio] - Hardware Upgrade Forum

View Full Version : auth.log...............

stefanoxjx

11-01-2006, 09:16

Nei log del mio serverino, trovo spesso cose tipo queste:

Jan 10 16:28:23 server sshd[2895]: Did not receive identification string from ::ffff:203.123.190.19
Jan 10 16:34:31 server sshd[2932]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!
Jan 10 16:34:31 server sshd[2932]: User root not allowed because not listed in AllowUsers
Jan 10 16:34:35 server sshd[2934]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!
Jan 10 16:34:35 server sshd[2934]: User root not allowed because not listed in AllowUsers
Jan 10 16:34:39 server sshd[2936]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!
Jan 10 16:34:39 server sshd[2936]: User root not allowed because not listed in AllowUsers
Jan 10 16:34:43 server sshd[2938]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!
Jan 10 16:34:43 server sshd[2938]: User root not allowed because not listed in AllowUsers
Jan 10 16:34:48 server sshd[2940]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!

Devo preoccuparmi?
Cosa ha cercato di fare l'attaccante?
Grazie.
Ciao.

LimiT-MaTz

11-01-2006, 09:23

ha tentato di connettersi come root.
Ma non essendo nei UserAllow non va a buon fine.

Se vuoi toglierti dalle palle questi pseudoattacchi cambia porta a sshd e il 90% dei casi vengono eliminati.

Solitamente sono macchine zombie che effettuano questi bruteforce.

stefanoxjx

11-01-2006, 09:59

OK, User not allowed avevo già capito cos'era, infatto di questo messaggio ne ho i log pieni.
Quello di cui non riesco a capire bene il significato (o meglio cosa cerchino di fare) sono i messaggi seguenti:

Jan 10 16:28:23 server sshd[2895]: Did not receive identification string from ::ffff:203.123.190.19
Jan 10 16:34:31 server sshd[2932]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!

LimiT-MaTz

11-01-2006, 10:08

It happens when the ISP doesn't properly do DNS reverse lookups. I get it all the time. That's not to say that you shouldn't always be on the lookout for host-spoofs.
questo e' cio' che ho trovato