Mar 27 23:00:55 gia sshd[2418]: warning: /etc/hosts.allow, line 10: host name/name mismatch: 68-90-148-99.ekipstech.com != ragnar.webeprint.com
analisa nos logs de autenticação se houve alguma auth bem sucessidida, com certeza se foi atacado terá algo la pois um atacante q apagaria log de autenticaçao nao deixaria passar em branco esse log ai. Em 01/04/08, Psycho Mantys <[EMAIL PROTECTED]> escreveu: > > > > Em 01/04/08, renator <[EMAIL PROTECTED]> escreveu: > > > > > > Ola. O meu arquivo hosts.allow como disse, não chega a ter 10 linhas > > (onde diz estar o erro). Abaixo estou postando ele na integra para > > vocês analisarem. > > > > [EMAIL PROTECTED] renato]# cat /etc/hosts.allow > > # > > # hosts.allow This file describes the names of the hosts which are > > # allowed to use the local INET services, as decided > > # by the '/usr/sbin/tcpd' server. > > # > > ##ALL:ALL > > ALL: 192.168.0.15 > > sshd: 192.168.0.21 > > sshd: 200.104.210.59 > > sshd: alguem.com.br > > > > > > On 1 abr, 00:19, "Luiz Antonio Oliveira" <[EMAIL PROTECTED]> wrote: > > > deve ter dois hosts na mesma linha > > > tente colocar um abaixo do outro > > > > > > 2008/3/31 Psycho Mantys <[EMAIL PROTECTED] > > > > > > > > > > > > > > > > > > > > > Em 31/03/08, Psycho Mantys <[EMAIL PROTECTED]> escreveu: > > > > > > > > Em 31/03/08, renato Rudnicki <[EMAIL PROTECTED]> escreveu: > > > > > > > > > > > Ola a todos. Estava confefindo os logs do ssh no > > /var/log/messages e > > > > > > notei uma mensagem diferente do normal: > > > > > > > > > Mar 27 23:00:55 gia sshd[2418]: warning: /etc/hosts.allow, line > > 10: > > > > > > host name/name mismatch: 68-90-148-99.ekipstech.com != > > > > > > ragnar.webeprint.com > > > > > > > > > Alguem sabe me explicar do que é essa mensagem ? Verifiquei o > > meu > > > > > > hosts.allow, e tenho apenas 2 linhas nele, de apenas 2 IP's que > > podem > > > > > > se logar no servidor. Além de achar estranho essa mensagem, > > achei mais > > > > > > estranho ainda ela estar dando erro na linha 10, já que meu > > > > > > hosts.allow não tem 10 linhas. O que eu gostaria de saber são 3 > > > > > > coisas: > > > > > > > > > 1 - O que essa linha significa ? > > > > > > > > > 2 - Meu servidor pode ter sido envadido ? > > > > > > > > > 3 - Existe algum site que mostre erros e warnings do serviço ssh > > e > > > > > > explique o que eles significam ? > > > > > > -- > > > > > > Abraços > > > > > > Renato > > > > > > > > >www.renator.wordpress.com > > > > > > Linux User 430091 > > > > > > > > > > ############################################################################################ > > > > > > > > Pode mandar o seu hosts.allow? Pelo menos um exemplo. Tlv o erro > > seja > > > > > ai. > > > > > > > > -- > > > > > Adote um pinguim, saiba como! Me mande um e-mail demonstrando > > interesse! > > > > > > > >http://www.slackware.com > > > > >http://img365.imageshack.us/img365/8483/snapshot3ak6.png > > > > > U.L. : 450347 > > > > > Fnord > > > > > > > > > ####################################################################################### > > > > > > > Tb mande uns logs a mais do syslog. Umas coisas que posam ser > > relacionadas > > > > a isso. > > > > > > > -- > > > > Adote um pinguim, saiba como! Me mande um e-mail demonstrando > > interesse! > > > > > > >http://www.slackware.com > > > >http://img365.imageshack.us/img365/8483/snapshot3ak6.png > > > > U.L. : 450347 > > > > Fnord > > > > > > -- > > > Luiz Antonio Oliveira > > > aka redhate > > > Linux User #347508 > > > > > aMSN: [EMAIL PROTECTED] > > > > > Licq: 251384040 > > > > > > Ta, acho que, acho que, acho que, alguem tentou entrar na sua maquina > > pro um endereço que nao era permitido no hosts.allow. Pelo mesnos e isso que > > eu acho. > > > > E seu hosts.allow tem 10 linhas sim! alquem.com.br e a 10. Acho que ele > > conta linhas mesmo que nao tendo nada. > > > > Para que vc possa saber se foi invadido ou nao, baixe um detector de > > rootkit e rode atraves de um live cd ou algo parecido. Caso nao de nenhuma > > coisa errada, verifique se os horarios que vc entrou no servidor > > correspondem ao que esta logado no ssh ou qq outro serviço de acesso ao > > servidor. > > E olhe logs tb de serviços ativos e veja se nao a nenhuma anormalida e > > vc esperava ver isso nos logs. > > > > > > se ainda nao tiver satisfeito, formate o computador e instale de novo o > > sistema. Coloque novas senhas :p. > > > > Espero ter ajudado. > > > > > > -- > > Adote um pinguim, saiba como! Me mande um e-mail demonstrando interesse! > > > > http://www.slackware.com > > http://img365.imageshack.us/img365/8483/snapshot3ak6.png > > U.L. : 450347 > > Fnord > > > > > > --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br -~----------~----~----~----~------~----~------~--~---
