[Çözüldü] benden habersiz ssh bağlantıları var. hemde root !

Başlatan mbunal, 14 Mayıs 2014 - 00:18:24

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

mbunal

merhaba

öylesine bir araştırma yaparken tcpspy paketini kurdum.  sonra 24 saatten fazla çalıştı bu tcpspy. baktım ki benim makinemden çin, romanya, isviçre ve bir kaç ülkeye daha ssh çıkışları olmuş. aha makinaya sızmışlar dedim. sıfırdan kubuntu14.04 kurdum. 40 saat kadar buda çalıştı, durum gene aynı. acaba bu normal mi? bu bağlantılar neyin nesidir? bütün makinalarda varmıdır bu? bunların daha detaylı bir logunu nasıl tutabilirim?

tcpspy çıktısından bir örnek:

May 13 15:40:05 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 61.174.51.217:7900
May 13 15:40:08 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 61.174.51.217:7900
May 13 17:27:01 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 1.93.29.180:50810
May 13 17:29:01 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 1.93.29.180:50810
May 13 18:18:15 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:53847
May 13 18:18:28 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:53847
May 13 18:18:36 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:2051
May 13 18:18:50 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:2051
May 13 18:18:57 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:6991
May 13 18:19:10 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:6991
May 13 18:19:18 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:12642
May 13 18:19:36 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 116.10.191.209:12642
May 13 19:40:54 kubuntu tcpspy[958]: connect: user root, local 10.11.11.11:ssh, remote 91.236.116.157:40400
May 13 19:40:55 kubuntu tcpspy[958]: disconnect: user root, local 10.11.11.11:ssh, remote 91.236.116.157:40400

heartsmagic

Bunlar sızma değildir, sadece denemedi yüksek ihtimalle. tcpspy kurcalamadığım için bilmiyorum ancak muhtemelen kaba kuvvet (brute force) saldırısı denemelerinin sonuçlarıdır. Kısacası istek yapılmış senin SSH servisine/portuna sonra da başarısız olunmuştur. /var/log/auth.log dosyasına göz gezdirebilirsin. Orada daha açık görünür.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

canosayan

en uzun bağlantı bir dakika bile değil. muhtemelen bruteforce gidip geliyorlar. sonuçta sızmış olsalar 1 dakika dolmadan çıkışp geri bağlanmazlar gibi.
Chmod bizim işimiz.

Deathangel

bu log kayıtlarına nerede ulastınız ? fail2bon nun e postaya yolladıgı loglarmı yoksa sıstminizin tutdugu log dosyasından mı baktınız bide sisteminkiden baktıysan sistemdekı konumunu yazabilirmisin?
in a world without fences and walls, who needs gates and windows

keyserver2.pgp.com
EA004CB1-->privatekey0@gmail.com

mbunal

valla kardeş çok uzun zaman geçti sadece o sıra bi şüphem vardı. tcp bağlantıları izlemek için tcpspy kurmuştun. man sayfasında gerekli açıklaması vardı. unuttum şuan. fail2ban değil yani.

senin sorunun neki?

Deathangel

sistemi kontrol etmek için giriş cıkıs loglarını yanı
in a world without fences and walls, who needs gates and windows

keyserver2.pgp.com
EA004CB1-->privatekey0@gmail.com

mbunal

dediğim gibi fal2ban değil tcpspy dı kullandığım. kurup bakabilirsin.

Deathangel

in a world without fences and walls, who needs gates and windows

keyserver2.pgp.com
EA004CB1-->privatekey0@gmail.com

heartsmagic

@mbunal, konu senin için çözüldü diyebilir miyiz?
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?


Böylece yalan, dünyanın düzenine dönüştürülüyor.

mbunal