-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Ronny Haryanto wrote:
| On Wed, Sep 22, 2004 at 10:55:38AM +0700, Rizky Prasetya wrote: | |> Di log sshd saya, akhir2 ini sering sekali terdapat entries yang |> berisi rejected attempt untuk login dengan username test, guest, |> admin, user dan root. Apakah rekan-rekan tahu ada worm/exploit |> yang mengeksploitasi sshd dan memiliki karakteristik seperti itu? |> |> |> Saya menduga itu worm karena: 1. karena saya pikir kalau |> dikerjakan "manual", si kiddies itu pasti konyol sekali sampe 20x |> attempt padahal sudah tau ditolak. 2. originated IP berbeda-beda, |> tapi kebanyakan dari arah hong-kong/china mainland. | | | Mesin saya di rumah juga sering dapet log entry begitu, dugaan saya | sama juga. Dari observasi saya, mesin yg melakukan itu pasti ada | OpenSSH-nya running (kadang2 ada mailserver dan webservernya), dan | semua (so far) Linux. Dan versi yg diadvertise (dr telnet port 22) | mencurigakan rasanya, saya gak nyatetin tapi dr yg saya cobain | rasa2nya "versi"-nya sama semua (protocol "1.9", openssh 2.x), | keliatan tua, jadi saya curiga ini palsu. | | Dari research kilat di google waktu itu (sorry udah gak ada links) | saya baca postings di forum dugaan mereka ini worm/trojan yg | menginfect OpenSSH/SSH. Tapi saya sampe skrg belum nemu wormnya | namanya apa maupun page yg menjelaskan dg lengkap ttg ini (saya | juga belum sempet nyari2 lagi). Sekali lagi ini semua baru dugaan, | belum ada yg pasti (at least not that I know of), kalo ada yg bisa | ngasih tau, monggo banget. | | Ronny
Mungkin bukan worm. Kiddies itu kebanyakan nonton film Matrix yang terakhir barangkali, terobsesi sama Trinity yang berhasil 'ngeroot' mesin Matrix dengan exploit (?) kuno sshnuke
http://www.linuxsecurity.com/articles/intrusion_detection_article-4002.html
Google dengan keyword = sshnuke. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFBUQIjrxwpwopYHJsRAsUSAKCWy8pGsXsDGhnc7KjaG8mBp1pZDACfVPnk 0oHeYUwhAlXZKegQethq9j0= =Zk/s -----END PGP SIGNATURE-----
-- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip, FAQ, dan info milis di http://linux.or.id/milis.php Tidak bisa posting? Baca: http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi http://linux.or.id/wiki/index.php?pagename=TataTertibMilis
