View previous topic :: View next topic |
Author |
Message |
nightblade Guru
Joined: 20 Jul 2004 Posts: 368 Location: back from SE Asia
|
Posted: Sun Dec 05, 2004 6:13 pm Post subject: |
|
|
mambro wrote: |
Chi ha scritto sta cosa? il dizionario potevano almeno metterlo su un altro file.. a sto punto aboliamo i loop e scriviamo sogenti di milioni di righe |
Ebbravo... e poi tutti gli script kiddie come facevano a capire che c'era da scaricare ben due file ??
E magari vorresti pure che imparassero ad usare dizionari diversi a seconda della nazione in cui si trova il server... _________________ In God we trust. All the others must provide a valid X.509 certificate |
|
Back to top |
|
|
PXL Tux's lil' helper
Joined: 05 Mar 2004 Posts: 113 Location: CH->Ticino
|
Posted: Sun Dec 05, 2004 6:26 pm Post subject: |
|
|
da quell'IP solo il 12 novembre e il 7 novembre...
Code: | Nov 7 08:31:30 firewall sshd[14080]: Illegal user test from ::ffff:220.70.167.67
Nov 7 08:31:30 firewall sshd[14080]: Failed password for illegal user test from ::ffff:220.70.167.67 port 56172 ssh2
|
ma giornalmente noto messaggi di questo genere... infatti logcheck mi manda giornalmente un mail che mi annuncia la disconnessione-connessione all'adsl e spesso appunto questi attacchi ssh... _________________ "apt-get install emerge" o "emerge apt" ? questo é il problema... |
|
Back to top |
|
|
stefanonafets l33t
Joined: 10 Feb 2003 Posts: 644
|
Posted: Sun Dec 05, 2004 6:39 pm Post subject: |
|
|
lo avrà scritto un lamer1 che nn sa niente di programmazione... _________________ registered Linux user number #411324
sed 's/ke/che/g'
<The Deployment Slave is initializing> |
|
Back to top |
|
|
tobiwan_ n00b
Joined: 23 Nov 2004 Posts: 40
|
Posted: Sun Dec 05, 2004 8:27 pm Post subject: |
|
|
sarà anche una lamerone (anche se il teorico della cospirazione che è in me direbbe che lo avrebbero già inchiappettato se fosse un semplice lamerone), però questo mi ricorda che in giro non ci sono solo lameroni...
Blindo tutto _________________ If you should go skating / on the thin ice of modern life / dragging behind you the silent
reproach / of a million tear stained eyes / don't be surprised, when a crack in the ice /
appears under your feet... |
|
Back to top |
|
|
akiross Veteran
Joined: 02 Mar 2003 Posts: 1170 Location: Mostly on google.
|
Posted: Sun Dec 05, 2004 8:44 pm Post subject: |
|
|
e' possibile che sia un tool automatico che mediante proxy fa tutti i tentativi, visto che sta provando con username diversi suppongo che stia provando tutte le password vuote per accedere, e se riesce ad accedere tentera' qualche exploit.
La soluzione proxy mi sembra accettabile in quanto mi sembra di aver capito che l'ip e' koreano (?) non ho letto molto il post
In ogni caso non e' per forza un lamer... se e' automatizzato non e' detto che sia un pirletta qualsiasi che prova a rubare l'accesso ad un server, probabilmente e' qualche scanner che cerca un server insicuro per postarci warez.
Inoltre noto l'attivita' sfrenata del mio router da ieri, ora controllo i log dei server e vi dico
Ciauz! _________________ Libera scienza in libero stato.
Horizon of Events |
|
Back to top |
|
|
akiross Veteran
Joined: 02 Mar 2003 Posts: 1170 Location: Mostly on google.
|
Posted: Sun Dec 05, 2004 8:47 pm Post subject: |
|
|
Bahhauwuwawahwa
Niente, la mia attivita' sospetta e' semplicemente mldonkey che avevo dimenticato di aver messo come demone
Log puliti!
Ciauz _________________ Libera scienza in libero stato.
Horizon of Events |
|
Back to top |
|
|
akiross Veteran
Joined: 02 Mar 2003 Posts: 1170 Location: Mostly on google.
|
Posted: Sun Dec 05, 2004 8:54 pm Post subject: |
|
|
Ah pero' noto dall'IPPL che un sacco di host stanno attaccandomi sulla 14800
Code: | Dec 5 21:53:17 port 14800 UDP datagram from 63.175.38.203 (63.175.38.203:11738->192.168.1.2:14800)
Dec 5 21:53:17 port 14800 UDP datagram from 80.108.15.100 (80.108.15.100:8121->192.168.1.2:14800)
Dec 5 21:53:17 port 14800 UDP datagram from 62.14.163.99 (62.14.163.99:3077->192.168.1.2:14800)
Dec 5 21:53:17 port 14800 UDP datagram from 24.167.172.13 (24.167.172.13:11313->192.168.1.2:14800)
Dec 5 21:53:17 port 14800 UDP datagram from 172.206.131.37 (172.206.131.37:10489->192.168.1.2:14800)
Dec 5 21:53:17 port 14800 UDP datagram from 68.190.193.4 (68.190.193.4:4534->192.168.1.2:14800)
Dec 5 21:53:17 port 14800 UDP datagram from 82.168.80.161 (82.168.80.161:5733->192.168.1.2:14800)
Dec 5 21:53:17 port 14800 UDP datagram from 81.51.128.226 (81.51.128.226:13695->192.168.1.2:14800)
Dec 5 21:53:18 port 14800 UDP datagram from 217.86.167.98 (217.86.167.98:5693->192.168.1.2:14800)
Dec 5 21:53:18 port 14800 UDP datagram from 217.125.225.250 (217.125.225.250:3180->192.168.1.2:14800)
Dec 5 21:53:18 port 14800 UDP datagram from 201.135.163.3 (201.135.163.3:3856->192.168.1.2:14800)
Dec 5 21:53:18 port 14800 UDP datagram from 68.63.117.156 (68.63.117.156:10555->192.168.1.2:14800)
Dec 5 21:53:18 port 14800 UDP datagram from 204.210.133.78 (204.210.133.78:8809->192.168.1.2:14800)
Dec 5 21:53:18 port 14800 UDP datagram from 212.17.82.130 (212.17.82.130:4242->192.168.1.2:14800)
Dec 5 21:53:18 port 14800 UDP datagram from 210.61.176.132 (210.61.176.132:11902->192.168.1.2:14800)
Dec 5 21:53:18 port 14800 UDP datagram from 213.199.200.102 (213.199.200.102:4167->192.168.1.2:14800)
Dec 5 21:53:18 port 14800 UDP datagram from 217.236.114.52 (217.236.114.52:11972->192.168.1.2:14800)
|
Non e' normale... sara' un virus di utenti windoze? Magari il nuovo sasser che circola?
Il log e' davvero lunghissimo! Non so quanti attacchi solo oggi
Aspe che conto (egrep ippl_log 'Dec {1,3}5' | wc -l)... sono 226780 attacchi solo oggi! Direi che e' assurdo Facciamo un virus che installa linux su ogni computer, cosi' da avere reti quantomeno piu' sicure
mentre dall'host in soggetto ho ricevuto queste, ma 3 giorni fa:
Code: | Dec 2 19:38:53 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:54540->192.168.1.2:22)
Dec 2 19:39:44 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:56799->192.168.1.2:22)
Dec 2 19:39:49 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:56958->192.168.1.2:22)
Dec 2 19:40:09 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57025->192.168.1.2:22)
Dec 2 19:40:14 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57091->192.168.1.2:22)
Dec 2 19:41:35 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57180->192.168.1.2:22)
Dec 2 19:41:49 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57232->192.168.1.2:22)
Dec 2 19:42:04 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57287->192.168.1.2:22)
Dec 2 19:42:09 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57344->192.168.1.2:22)
Dec 2 19:42:14 ssh connection attempt from unknown@220.70.167.67 (220.70.167.67:57386->192.168.1.2:22)
|
A dire il vero non mi preoccupano molto... ritengo linux abbastanza sicuro In ogni caso meglio fare un po' di attenzione. _________________ Libera scienza in libero stato.
Horizon of Events
Last edited by akiross on Sun Dec 05, 2004 9:05 pm; edited 1 time in total |
|
Back to top |
|
|
tobiwan_ n00b
Joined: 23 Nov 2004 Posts: 40
|
Posted: Sun Dec 05, 2004 9:02 pm Post subject: |
|
|
porta 14800?
non ricordo che ci giri niente...
sento prorio puzza di windoze worm _________________ If you should go skating / on the thin ice of modern life / dragging behind you the silent
reproach / of a million tear stained eyes / don't be surprised, when a crack in the ice /
appears under your feet... |
|
Back to top |
|
|
akiross Veteran
Joined: 02 Mar 2003 Posts: 1170 Location: Mostly on google.
|
Posted: Sun Dec 05, 2004 9:07 pm Post subject: |
|
|
14800 e' davvero alta, fuori dalle well-known, anche secondo me puzza di worm... a voi che dicono i log? se queste cose succedono a tutti e' proprio un worm
Oppure, mi collego con win lasciando il router acceso e vedo se al prossimo riavvio c'e' su il well-known sasser _________________ Libera scienza in libero stato.
Horizon of Events |
|
Back to top |
|
|
tobiwan_ n00b
Joined: 23 Nov 2004 Posts: 40
|
Posted: Sun Dec 05, 2004 9:09 pm Post subject: |
|
|
akiross wrote: | 14800 e' davvero alta, fuori dalle well-known, anche secondo me puzza di worm... a voi che dicono i log? se queste cose succedono a tutti e' proprio un worm |
ho cercato con San Google, non sembra esserci niente in ascolto lì...
Quote: |
Oppure, mi collego con win lasciando il router acceso e vedo se al prossimo riavvio c'e' su il well-known sasser |
Volevo scriverlo io, ma avevo paura di essere preso sul serio da qualcuno _________________ If you should go skating / on the thin ice of modern life / dragging behind you the silent
reproach / of a million tear stained eyes / don't be surprised, when a crack in the ice /
appears under your feet... |
|
Back to top |
|
|
mambro l33t
Joined: 22 Mar 2004 Posts: 752 Location: Mira (VE) - Italy
|
Posted: Sun Dec 05, 2004 9:10 pm Post subject: |
|
|
A me continuano a contattarmi sulla 135 e sulla 445 e anche una 62299 vedo ora.. _________________ "The design of a worldwide, fully transparent distributed file system for simultaneous use by millions of mobile and frequently disconnected users is left as an excercise for the reader".
Andrew S. Tanenbaum, Distributed Operating Systems. |
|
Back to top |
|
|
akiross Veteran
Joined: 02 Mar 2003 Posts: 1170 Location: Mostly on google.
|
Posted: Sun Dec 05, 2004 9:15 pm Post subject: |
|
|
tobiwan_ wrote: | akiross wrote: | 14800 e' davvero alta, fuori dalle well-known, anche secondo me puzza di worm... a voi che dicono i log? se queste cose succedono a tutti e' proprio un worm |
ho cercato con San Google, non sembra esserci niente in ascolto lì...
|
Difatti, insinuavo che forse c'e' un worm che apre quella porta... sai, magari sfruttando un bug entri con un servizio attivo, pero' una volta che sei dentro usi un'altra porta, o no? non so molto di queste cose, che dite?
Porta 135 non e' quella di netbios su win? 445 non so
Ciauz _________________ Libera scienza in libero stato.
Horizon of Events |
|
Back to top |
|
|
mambro l33t
Joined: 22 Mar 2004 Posts: 752 Location: Mira (VE) - Italy
|
Posted: Sun Dec 05, 2004 9:20 pm Post subject: |
|
|
445 è netbios e 135 è RPC ho samba attivo... ma perchè cercando di accedere da fuori? _________________ "The design of a worldwide, fully transparent distributed file system for simultaneous use by millions of mobile and frequently disconnected users is left as an excercise for the reader".
Andrew S. Tanenbaum, Distributed Operating Systems. |
|
Back to top |
|
|
akiross Veteran
Joined: 02 Mar 2003 Posts: 1170 Location: Mostly on google.
|
Posted: Sun Dec 05, 2004 9:23 pm Post subject: |
|
|
Probabilmente e' qualche worm che tenta di diffondersi, ma non so...
Bisogna seguire le news e vedere se si rileva qualcosa _________________ Libera scienza in libero stato.
Horizon of Events |
|
Back to top |
|
|
stefanonafets l33t
Joined: 10 Feb 2003 Posts: 644
|
Posted: Sun Dec 05, 2004 11:05 pm Post subject: |
|
|
Quote: | Porta 135 non e' quella di netbios su win? 445 non so |
su GRC (+ precisamente shieldup!) c'è la descrizione delle prime 1055 porte (tra l'altr ti testa se sono aperte, chiuse o ghost, comodo). _________________ registered Linux user number #411324
sed 's/ke/che/g'
<The Deployment Slave is initializing> |
|
Back to top |
|
|
nomadsoul Apprentice
Joined: 14 Mar 2004 Posts: 172
|
Posted: Mon Dec 06, 2004 1:16 am Post subject: |
|
|
e se sul quell'ip ci fosse un proxy bacato? per cui x user diversi se lo impostano sui loro programmilli cazzosi e iniziano a scananre a + non posso? |
|
Back to top |
|
|
morlan n00b
Joined: 27 Jan 2004 Posts: 24 Location: Aosta
|
Posted: Mon Dec 06, 2004 10:03 am Post subject: |
|
|
Quote: | Ho tutta una serie di tentativi da parte di questo ip sulla mia porta ssh |
Confermo alcuni tentativi da questo ip il 29 Ott e il 3 Dic... poca roba comunque...
Sono molto piu' insistenti gli attacchi dagli indirizzi 61.100.186.71 e 168.115.112.235. Il whois li indica tutti nella regione coreana.
Che dite... hanno indetto un ritrovo internazionale di lamer e non mi hanno invitato? |
|
Back to top |
|
|
akiross Veteran
Joined: 02 Mar 2003 Posts: 1170 Location: Mostly on google.
|
Posted: Mon Dec 06, 2004 10:35 am Post subject: |
|
|
nomadsoul wrote: | e se sul quell'ip ci fosse un proxy bacato? per cui x user diversi se lo impostano sui loro programmilli cazzosi e iniziano a scananre a + non posso? |
Puo' essere, ma in ogni caso esistono proxy liberi sempre e comunque, non per forza sono bacati _________________ Libera scienza in libero stato.
Horizon of Events |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Mon Dec 06, 2004 11:04 am Post subject: |
|
|
per evitare del tutto questi attacchi idioti comunque basta spostare le porte dei propri server da quelle di default ad altre non standard... io non ho più tentativi di connessione da quando l'ho fatto
E ora tutte le porte sotto la 1056 sono spente... per trovare una porta aperta devi salite parecchio con i numeri... _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
akiross Veteran
Joined: 02 Mar 2003 Posts: 1170 Location: Mostly on google.
|
Posted: Mon Dec 06, 2004 11:06 am Post subject: |
|
|
Cazzantonio wrote: | per evitare del tutto questi attacchi idioti comunque basta spostare le porte dei propri server da quelle di default ad altre non standard... io non ho più tentativi di connessione da quando l'ho fatto
E ora tutte le porte sotto la 1056 sono spente... per trovare una porta aperta devi salite parecchio con i numeri... |
Furbo il ragazzo _________________ Libera scienza in libero stato.
Horizon of Events |
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Mon Dec 06, 2004 6:54 pm Post subject: |
|
|
akiross wrote: |
[CUT]
Furbo il ragazzo |
Questa è in genere la cosa che si fa _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
Cazzantonio Bodhisattva
Joined: 20 Mar 2004 Posts: 4514 Location: Somewere around the world
|
Posted: Mon Dec 06, 2004 7:56 pm Post subject: |
|
|
gutter wrote: | Questa è in genere la cosa che si fa |
Si, ma fino ad oggi la consideravo un'esagerazione
Ora comunque dovrei essere abbastanza al sicuro sul fronte internet. con tanto di firewall sul router e su ognuno dei miei pc (configurazioni di base di iptables). Penso sia più probabile che mi entrino dalla rete wireless Finchè non riesco a far riconoscere al mio router il mio hostname però sono bloccato su quel fronte... _________________ Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
Back to top |
|
|
gutter Bodhisattva
Joined: 13 Mar 2004 Posts: 7162 Location: Aarau, Aargau, Switzerland
|
Posted: Tue Dec 07, 2004 10:46 am Post subject: |
|
|
@Cazzantonio: si penso che non dovresti avere problemi. _________________ Registered as User #281564 and Machines #163761 |
|
Back to top |
|
|
FonderiaDigitale Veteran
Joined: 06 Nov 2003 Posts: 1710 Location: Rome, Italy
|
Posted: Tue Dec 07, 2004 11:27 am Post subject: |
|
|
nightblade wrote: | Cazzantonio wrote: | per bannare un indirizzo ip basta metterlo in /etc/host.deny vero? oppure devo ricorrere ad iptables |
hosts.deny ti permette di vietare l'accesso di uno o piu' indirizzi IP ad un tuo daemon in ascolto, e questo potrebbe risolvere il tuo problema.
Pero' iptables e' un vero e proprio firewall, che quindi ti permette un controllo completo, centralizzato e puntuale di ogni tipo di pacchetto che entra o esce dal tuo pc, per cui prima cominci a smanettarci e meglio e' |
l'altra soluzione che io preferisco e' usare SSH solo quando e dove effettivamente serve, ossia aprire la porta on-demand tramite autenticazione.
se ricordi bene ne parlai al seminario dei gechi a prato, sezione doorman.
per quanto riguarda il tizio coreano, io sono dell'opinione che se il suo ISP gli permette certi mass scan, di certo manco ha un reparto anti-abuse, e quindi la soluzione ideale e' sempre e comunque un Code: | iptables -I INPUT 1 -s IP_SUO -j DROP |
_________________ Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica
|
|
Back to top |
|
|
FonderiaDigitale Veteran
Joined: 06 Nov 2003 Posts: 1710 Location: Rome, Italy
|
Posted: Tue Dec 07, 2004 11:28 am Post subject: |
|
|
akiross wrote: | Cazzantonio wrote: | per evitare del tutto questi attacchi idioti comunque basta spostare le porte dei propri server da quelle di default ad altre non standard... io non ho più tentativi di connessione da quando l'ho fatto
E ora tutte le porte sotto la 1056 sono spente... per trovare una porta aperta devi salite parecchio con i numeri... |
Furbo il ragazzo |
tutto dipende se TU sei l'unico utente.
se sposti la 80 e vuoi fare da webserver non la vedo bella come soluzione _________________ Come disse un amico, i sistemisti sono un po' come gli artigiani per l'informatica
|
|
Back to top |
|
|
|