merhaba
öylesine bir araştırma yaparken tcpspy paketini kurdum. sonra 24 saatten fazla çalıştı bu tcpspy. baktım ki benim makinemden çin, romanya, isviçre ve bir kaç ülkeye daha ssh çıkışları olmuş. aha makinaya sızmışlar dedim. sıfırdan kubuntu14.04 kurdum. 40 saat kadar buda çalıştı, durum gene aynı. acaba bu normal mi? bu bağlantılar neyin nesidir? bütün makinalarda varmıdır bu? bunların daha detaylı bir logunu nasıl tutabilirim?
tcpspy çıktısından bir örnek:
May 13 15:40:05 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 61.174.51.217:7900
May 13 15:40:08 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 61.174.51.217:7900
May 13 17:27:01 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 1.93.29.180:50810
May 13 17:29:01 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 1.93.29.180:50810
May 13 18:18:15 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:53847
May 13 18:18:28 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:53847
May 13 18:18:36 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:2051
May 13 18:18:50 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:2051
May 13 18:18:57 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:6991
May 13 18:19:10 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:6991
May 13 18:19:18 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:12642
May 13 18:19:36 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:12642
May 13 19:40:54 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 91.236.116.157:40400
May 13 19:40:55 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 91.236.116.157:40400
Bunlar sızma değildir, sadece denemedi yüksek ihtimalle. tcpspy kurcalamadığım için bilmiyorum ancak muhtemelen kaba kuvvet (brute force) saldırısı denemelerinin sonuçlarıdır. Kısacası istek yapılmış senin SSH servisine/portuna sonra da başarısız olunmuştur. /var/log/auth.log dosyasına göz gezdirebilirsin. Orada daha açık görünür.
en uzun bağlantı bir dakika bile değil. muhtemelen bruteforce gidip geliyorlar. sonuçta sızmış olsalar 1 dakika dolmadan çıkışp geri bağlanmazlar gibi.
bu log kayıtlarına nerede ulastınız ? fail2bon nun e postaya yolladıgı loglarmı yoksa sıstminizin tutdugu log dosyasından mı baktınız bide sisteminkiden baktıysan sistemdekı konumunu yazabilirmisin?
valla kardeş çok uzun zaman geçti sadece o sıra bi şüphem vardı. tcp bağlantıları izlemek için tcpspy kurmuştun. man sayfasında gerekli açıklaması vardı. unuttum şuan. fail2ban değil yani.
senin sorunun neki?
sistemi kontrol etmek için giriş cıkıs loglarını yanı
dediğim gibi fal2ban değil tcpspy dı kullandığım. kurup bakabilirsin.
bilgilendirdigin için çok teşekkür ederim
@mbunal, konu senin için çözüldü diyebilir miyiz?
Alıntı yapılan: heartsmagic - 08 Haziran 2016 - 04:04:19
@mbunal, konu senin için çözüldü diyebilir miyiz?
ok, çözüldü.