On Tue, 1 Mar 2005 17:22, timebandit wrote: > Mitt f�rsta intr�ng imorse d� :/ > N�gra bra s�tt/knep/rekommendationer att g�ra burken s�krare? > ... > sshd[23060]: Illegal user vip from 198.104.144.59 Mar 1 04:51:47 DZN > sshd[23060]: error: Could not get shadow information for NOUSER Mar > 1 04:51:47 DZN sshd[23060]: Failed password for illegal user vip from > 198.104.144.59 port 42735 ssh2 > > Mar 1 06:25:04 DZN su[26029]: + ??? root:nobody > Mar 1 06:25:04 DZN su[26029]: (pam_unix) session opened for user > nobody by (uid=0)
En �verv�ldigande majoritet av dessa attacker kommer fr�n Kina och Sydkorea, liksom m�nga attacker p� port 80 och spamutskick. S� l�nge s� �r fallet och s� l�nge man inte har sk�l att sl� s�rskild vakt om sina bes�kare fr�n dessa l�nder kan det vara v�rt att k�ra bifogat skript. > �ven en massa Failed password for root som finns i loggarna :/ Dem > lyckades tydligen ta sig in i morse men han dra ut n�tverkskabeln > innan dem gjorde n�n skada... dem k�rde n�tt med find men hittar > inget i loggarna d�r det visar vad dem gjorde :/ Ha inga on�diga anv�ndare, och se bland annat till att ha f�ljande rader i /etc/ssh/sshd_config: LoginGraceTime sekunder_som_inloggning_f�r_ta PermitRootLogin no AllowUsers anv�ndarnamn_som_f�r_logga_in PermitRootLogin no Givetvis finns det mycket annat att t�nka p�, men just detta skyddar bra mot den typen av attack som du blivit utsatt f�r. Mer information om denna finns h�r: http://www.security.org.sg/gtec/honeynet/viewdiary.php?diary=20041102 http://dev.gentoo.org/~krispykringle/sshnotes.txt http://www.phrack.org/show.php?p=59&a=8 -- Alex Nordstrom http://lx.n3.net/ Skicka inte kopior p� uppf�ljande meddelanden till mig; jag prenumererar p� debian-user-swedish.
byechinakorea
Description: application/shellscript
