On Wed, Sep 22, 2004 at 10:55:38AM +0700, Rizky Prasetya wrote: > Di log sshd saya, akhir2 ini sering sekali terdapat entries yang berisi > rejected attempt untuk login dengan username test, guest, admin, user dan > root. Apakah rekan-rekan tahu ada worm/exploit yang mengeksploitasi sshd dan > memiliki karakteristik seperti itu? > > Saya menduga itu worm karena: > 1. karena saya pikir kalau dikerjakan "manual", si kiddies itu pasti konyol > sekali sampe 20x attempt padahal sudah tau ditolak. > 2. originated IP berbeda-beda, tapi kebanyakan dari arah hong-kong/china > mainland.
Mesin saya di rumah juga sering dapet log entry begitu, dugaan saya sama juga. Dari observasi saya, mesin yg melakukan itu pasti ada OpenSSH-nya running (kadang2 ada mailserver dan webservernya), dan semua (so far) Linux. Dan versi yg diadvertise (dr telnet port 22) mencurigakan rasanya, saya gak nyatetin tapi dr yg saya cobain rasa2nya "versi"-nya sama semua (protocol "1.9", openssh 2.x), keliatan tua, jadi saya curiga ini palsu. Dari research kilat di google waktu itu (sorry udah gak ada links) saya baca postings di forum dugaan mereka ini worm/trojan yg menginfect OpenSSH/SSH. Tapi saya sampe skrg belum nemu wormnya namanya apa maupun page yg menjelaskan dg lengkap ttg ini (saya juga belum sempet nyari2 lagi). Sekali lagi ini semua baru dugaan, belum ada yg pasti (at least not that I know of), kalo ada yg bisa ngasih tau, monggo banget. Ronny
pgpQvuFFhJ6cz.pgp
Description: PGP signature
