от хостера пришло интересное сообщение

175

kopusha

4 июня 2009, 19:43

717

к моему провайдеру прислали следующее:

"It appears that a user from your network has been trying to hack into our web server. We respectfully request that you investigate this incident as soon as possible and that this person immediately cease and desist from further brute force attacks on our server. See our servers Brute Force Detection log below.
Thank you for your cooperation in this matter."

The remote system **.***.5.154 was found to have exceeded acceptable login failures on dedicated.azriver.com; there was 23 events to the service sshd. As such the attacking host has been banned from further accessing this system. For the integrity of your host you should investigate this event as soon as possible.

Executed ban command:
/etc/apf/apf -d **.**.5.154 {bfd.sshd}

The following are event logs from **.***.5.*54 on service sshd (all time stamps are GMT -0700):

Jun 4 08:45:27 dedicated sshd[2367]: Failed password for root from **.***.5.154 port 50126 ssh2
Jun 4 08:45:29 dedicated sshd[2375]: Failed password for root from **.***.5.154 port 50204

и длинный список.

сервер мой собственный, поэтому искать причины этого придется мне.

мои мысли - либо по shell действительно брутфорс идёт, либо от скрипта в какой то папке, но под шелл маскируется.

Что собираюсь сделать:

- снести вообще все и переустановить ось

- не создавать шелл доступ вообще

- аккуратно, а не как раньше юзать сторонние скрипты и права к папкам давать думая головой.

- пароли к аакам делать не как раньше а длинные и сложные.

Что можете ещё посоветовать в этой ситуации? (ось - Центос)

ЗЫ - ещё одна абуза:

Hello from AT&T Hosting and Applications Services. I am a Security Engineer here trying to track down a security incident that appears to have originated from your network
on June 04, 2009. Please investigate a TCP sweep of port 22 from the IP **.***.5.154 and inform me of the results (account cancelled, user warned, etc). I will require this
information in order to close the ticket on this activity. I have attached a portion of the log details as evidence. All times are EDT (GMT -4).

(NOTE: This is an automated email response to the incoming scan/attack.)

15:25:27 **.**.5.154 0.0.0.0 [TCP-SWEEP] (total=398,dp=22,min=212.1.185.0,max=212.1.184.255,Jun04-15:25:27,Jun04-15:25:27) (USI-amsxaid01)
15:26:13 **.**.5.154 0.0.0.0 [TCP-SWEEP] (total=159,dp=22,min=212.1.189.0,max=212.1.190.255,Jun04-15:25:27,Jun04-15:25:28) (USI-amsxaid01)

[Удален]

4 июня 2009, 20:01

#1

Меняйте рут пароли по чаще и всё.

Тут ваш сервак сломали и доломают видимо до конца, чтобы он лёг если вы вмешаетесь.

P

250

Pilat

4 июня 2009, 20:27

#2

на ssh не ставьте пароли вообще, пользуйтесь приватными ключами.

Блог (http://www.pilat66.ru/)

538

rustelekom

5 июня 2009, 00:30

#3

зачем из за ерунды (на 99%) форматировать сразу сервер менять рут пароли (хотя в общем то раз в месяц их не мешало бы менять чисто для профилактики). На 99% уверен что по фтп закачали на какой нибудь аккаунт перловский или пхп скрипт который и занимается брутфорсом. Закрыть для начала 22 порт на выход. Затем посмотреть кто ломится наружу на 22 порт нетстатом. Если это апач то опустить число процессов до минимума - (2-5 хватит) а потом стрейсом глянуть чего делается в процессах апача - там может путь к файлу брутфорсера найтись. Также можно поюзать лсофт для того же самого. Найдя - по логам глянуть кто, когда выкладывал.

Вперед всего стоит проверить /tmp /var/tmp /dev/shm обычно туда стремя всякую муть через скрипты.

60% скидка на VPS в США, 20% скидка в Нидерландах и 40% в Финляндии. Хостинг, VPS и серверы в США, Нидерландах, Финляндии, Германии и России. RoboVPS https://www.robovps.biz

Анализ скорости загрузки сайта: Александр Садовский на конференции Анализ продвижения сайта

R

50

reddev

5 июня 2009, 04:26

#4

Как вариант перевесить sshd на другой порт.

Зачем быть уникальным в мире, где все можно скопировать

Яндекс Вебмастер вынес товарные фиды в отдельный раздел