вот что нашел сегодня в /var/log/messages/
Jul 3 12:46:55 www sshd[19985]: Invalid user student from 82.135.146.51
Jul 3 12:46:58 www sshd[19990]: Invalid user kevin from 82.135.146.51
Jul 3 12:47:12 www sshd[20005]: Invalid user sandra from 82.135.146.51
Jul 3 12:47:15 www sshd[20010]: Invalid user ftptest from 82.135.146.51
Jul 3 12:47:25 www sshd[20020]: Invalid user webadmin from 82.135.146.51
Jul 3 12:47:31 www sshd[20030]: Invalid user mailman from 82.135.146.51
Jul 3 12:47:34 www sshd[20035]: Invalid user temp1 from 82.135.146.51
Jul 3 12:47:37 www sshd[20040]: Invalid user testmysql from 82.135.146.51
Jul 3 12:47:41 www sshd[20045]: Invalid user ftptest from 82.135.146.51
Jul 3 12:47:47 www sshd[20055]: Invalid user webmaster from 82.135.146.51
Jul 3 12:47:50 www sshd[20060]: Invalid user user from 82.135.146.51
Jul 3 12:47:55 www sshd[20065]: Invalid user r00t from 82.135.146.51
Jul 3 12:47:58 www sshd[20070]: Invalid user administrator from 82.135.146.51
Jul 3 12:48:01 www sshd[20075]: Invalid user angel from 82.135.146.51
Jul 3 12:48:04 www sshd[20080]: Invalid user ftpuser from 82.135.146.51
Jul 3 12:48:08 www sshd[20085]: Invalid user oracle from 82.135.146.51
Jul 3 12:48:11 www sshd[20090]: User guest not allowed because shell /dev/null is notexecutable
Jul 3 12:48:14 www sshd[20095]: Invalid user test from 82.135.146.51
Jul 3 12:48:28 www sshd[20115]: Invalid user www from 82.135.146.51
Jul 3 12:48:42 www sshd[20135]: Invalid user testuser from 82.135.146.51
Jul 3 12:48:50 www sshd[20145]: Invalid user mailtest from 82.135.146.51
Jul 3 12:48:54 www sshd[20150]: Invalid user sales from 82.135.146.51
Jul 3 12:49:00 www sshd[20155]: Invalid user service from 82.135.146.51
Jul 3 12:49:04 www sshd[20160]: Invalid user student from 82.135.146.51
Jul 3 12:49:07 www sshd[20165]: Invalid user kevin from 82.135.146.51
ну и так далее
это кто-то подбирал имя пользователя? хмм.
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
p.s. apache2
брутфорс называется. Кто-то гонял hydra (или аналог), пытаясь подобрать пару логин-пароль.
balujutsia navernoje. u menia server bez iptables na gentoo stoit. nmap pokazyvajet — chto otkryty tolko http i ssh (nu da, bolshe nichego i ne zapusheno). stoit li peresobirat' jadro dlia vkliuchenija iptables v nego ili ne stoit?
sledusheje, chto sdelaju — eto vkliuchu selinux i emerge bastille.
лично я бы еще поставил grsecurity.
Вопрос в том кто может логиниться. Чем больше валидных пар логин-пароль тем вероятнее что одна из их станет известна тому, кому знать её не положено.
Ежели только ты можешь там логиниться, так сгенери себе хороший пароль и фига с два кто его подберёт.
nu loginitsia mogu ja (ne kak root). i dalshe jeshio 2 polzovatelia. odnogo iz nix ja dazhe znaju parol’. nu ne slabyj naborchik takoj. u menia tozhe. a vot naschiot jeshio odnogo polzovatelia — ne znaju, ne znaju…. pravda v grupe wheel — tolko ja odin. (sistema gentoo)
далее: выдержка из /var/log/messages:
Jul 14 07:36:56 www sshd[32538]: Accepted keyboard-interactive/pam for ingae fr$
Jul 14 07:36:56 www sshd(pam_unix)[32544]: session opened for user ingae by (ui$
Jul 14 07:36:56 www sshd(pam_unix)[32544]: session closed for user ingae
Jul 14 07:38:56 www sshd[32547]: Accepted keyboard-interactive/pam for ingae fr$
Jul 14 07:38:56 www sshd(pam_unix)[32553]: session opened for user ingae by (ui$
Jul 14 07:38:56 www sshd(pam_unix)[32553]: session closed for user ingae
Jul 14 07:40:01 www cron[32557]: (root) CMD (test -x /usr/sbin/run-crons &&
пользователь 'ingae' существует на серваке, да только ни я ни человек, кот. под ним входит не пытались
логинится даже вчера. что эти строчки могли бы значить? почему сессия открывается (как вообще она
открывается????) и закрывается в ту же секунду? неправильный пароль даёт в /var/log/messages совсем
другое сообщение.
ещё: может кто ткнёт носом в вот куда: нужно чтоб залогинившийся пользователь видел только определённую
директорию (и не выше её). chroot?
ткните в доки может?