auth.log...............

stefanoxjx · 11-01-2006, 09:16

Nei log del mio serverino, trovo spesso cose tipo queste:

Jan 10 16:28:23 server sshd[2895]: Did not receive identification string from ::ffff:203.123.190.19
Jan 10 16:34:31 server sshd[2932]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!
Jan 10 16:34:31 server sshd[2932]: User root not allowed because not listed in AllowUsers
Jan 10 16:34:35 server sshd[2934]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!
Jan 10 16:34:35 server sshd[2934]: User root not allowed because not listed in AllowUsers
Jan 10 16:34:39 server sshd[2936]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!
Jan 10 16:34:39 server sshd[2936]: User root not allowed because not listed in AllowUsers
Jan 10 16:34:43 server sshd[2938]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!
Jan 10 16:34:43 server sshd[2938]: User root not allowed because not listed in AllowUsers
Jan 10 16:34:48 server sshd[2940]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!

Devo preoccuparmi?
Cosa ha cercato di fare l'attaccante?
Grazie.
Ciao.

LimiT-MaTz · 11-01-2006, 09:23

ha tentato di connettersi come root.
Ma non essendo nei UserAllow non va a buon fine.

Se vuoi toglierti dalle palle questi pseudoattacchi cambia porta a sshd e il 90% dei casi vengono eliminati.

Solitamente sono macchine zombie che effettuano questi bruteforce.

stefanoxjx · 11-01-2006, 09:59

OK, User not allowed avevo già capito cos'era, infatto di questo messaggio ne ho i log pieni.
Quello di cui non riesco a capire bene il significato (o meglio cosa cerchino di fare) sono i messaggi seguenti:

Jan 10 16:28:23 server sshd[2895]: Did not receive identification string from ::ffff:203.123.190.19
Jan 10 16:34:31 server sshd[2932]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!

LimiT-MaTz · 11-01-2006, 10:08

Quote:

It happens when the ISP doesn't properly do DNS reverse lookups. I get it all the time. That's not to say that you shouldn't always be on the lookout for host-spoofs.

questo e' cio' che ho trovato

11-01-2006, 09:16	#1
stefanoxjx Senior Member Iscritto dal: Jul 2002 Città: Padova Messaggi: 4245	auth.log............... Nei log del mio serverino, trovo spesso cose tipo queste: Jan 10 16:28:23 server sshd[2895]: Did not receive identification string from ::ffff:203.123.190.19 Jan 10 16:34:31 server sshd[2932]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT! Jan 10 16:34:31 server sshd[2932]: User root not allowed because not listed in AllowUsers Jan 10 16:34:35 server sshd[2934]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT! Jan 10 16:34:35 server sshd[2934]: User root not allowed because not listed in AllowUsers Jan 10 16:34:39 server sshd[2936]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT! Jan 10 16:34:39 server sshd[2936]: User root not allowed because not listed in AllowUsers Jan 10 16:34:43 server sshd[2938]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT! Jan 10 16:34:43 server sshd[2938]: User root not allowed because not listed in AllowUsers Jan 10 16:34:48 server sshd[2940]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT! Devo preoccuparmi? Cosa ha cercato di fare l'attaccante? Grazie. Ciao.

11-01-2006, 09:23	#2
LimiT-MaTz Senior Member Iscritto dal: Apr 2003 Città: Genova Messaggi: 673	ha tentato di connettersi come root. Ma non essendo nei UserAllow non va a buon fine. Se vuoi toglierti dalle palle questi pseudoattacchi cambia porta a sshd e il 90% dei casi vengono eliminati. Solitamente sono macchine zombie che effettuano questi bruteforce. __________________ MaTz!

11-01-2006, 09:59	#3
stefanoxjx Senior Member Iscritto dal: Jul 2002 Città: Padova Messaggi: 4245	OK, User not allowed avevo già capito cos'era, infatto di questo messaggio ne ho i log pieni. Quello di cui non riesco a capire bene il significato (o meglio cosa cerchino di fare) sono i messaggi seguenti: Jan 10 16:28:23 server sshd[2895]: Did not receive identification string from ::ffff:203.123.190.19 Jan 10 16:34:31 server sshd[2932]: reverse mapping checking getaddrinfo for colo19-190.pacific.net.in failed - POSSIBLE BREAKIN ATTEMPT!

Strumenti
Mostra una versione stampabile Invia questa pagina per email