--------- Wiadomość oryginalna --------
Od: Lista uzytkowników Slackware Linux. <slacklist@olek.waw.pl>
Do: Lista uzytkowników Slackware Linux. <slacklist@olek.waw.pl>
Temat: [slacklist] wlamanie , co robic ??
Data: 11/05/05 06:47

>
> Witam wszystkich
> mam taki problemik od jakiegos czasu obserwuje w logach takie proby
wlamania
> :
> May 10 19:16:27 inkubator sshd[21570]: Failed password for illegal user
ryan
> from 203.252.195.236 port 3927 ssh2
> May 10 19:16:30 inkubator sshd[21572]: Illegal user testguy from
> 203.252.195.236
> May 10 19:16:30 inkubator sshd[21572]: Failed password for illegal user
> testguy from 203.252.195.236 port 3958 ssh2
> May 10 19:16:43 inkubator sshd[21578]: Illegal user sauv from
> 203.252.195.236
> May 10 19:16:43 inkubator sshd[21578]: Failed password for illegal user
sauv
> from 203.252.195.236 port 4101 ssh2
> May 10 19:16:49 inkubator sshd[21580]: Illegal user eddie from
> 203.252.195.236
> May 10 19:16:49 inkubator sshd[21580]: Failed password for illegal user
> eddie from 203.252.195.236 port 4151 ssh2
> May 10 19:16:56 inkubator sshd[21582]: Illegal user folkert from
> 203.252.195.236
> May 10 19:16:56 inkubator sshd[21582]: Failed password for illegal user
> folkert from 203.252.195.236 port 4206 ssh2
> May 10 19:16:59 inkubator sshd[21584]: Illegal user beleaua from
> 203.252.195.236
> albo
> May 10 14:02:57 inkubator sshd[21008]: Failed password for root from
> 193.151.5.76 port 55475 ssh2
> May 10 14:02:58 inkubator sshd[21010]: Failed password for root from
> 193.151.5.76 port 55527 ssh2
> May 10 14:02:59 inkubator sshd[21012]: Failed password for root from
> 193.151.5.76 port 55594 ssh2
> May 10 14:02:59 inkubator sshd[21014]: Failed password for root from
> 193.151.5.76 port 55636 ssh2
> May 10 14:03:01 inkubator sshd[21016]: Failed password for root from
> 193.151.5.76 port 55677 ssh2
> i tak codziennie . pytanie mam takie co robic ?? jak zabezpieczyc ssh zeby
> logowalo mi sie tylko z konkretnych adresow ip,
> niemoge zamknac na lokalna siec bo czesto wyjezdzam i zdalnie tez
potrzebuje
> wejsc ale takich adresow zewnetrznychy
> mam z 5 z ktorych musze miec mozliwosc zalogowania a reszte mozna
zablokowac
> tylko jak to zrobic ??
> pozatym gdzies slyszalem cos na temat nowych programow ktore sie odgryzaja
> za takie proby wlamania , czyli jak program
> stwierdzi ze to jest proba wlamania to odpowiada jakims DoS em albo wogle
> gdzies kieruje to zapytanie w kosmos
> ja zabardzo niemam pomyslu co z tym zrobic. wiec jesli ktos bedzie tak
dobry
> i cos naskrobie to bym byl wdzieczny.
> ps. jesli chcesz napisac &quot;poszukaj na googlach&quot; to dzieki i nie
wysilaj sie
> ......

www sshd_config odhaszuj linje:

PermitRootLogin no
AllowUsers user1 user2 user3

nikt nie bedzie mial wstepu oprucz tych co sobie zdefinjujesz nawet jesli ma
/bin/bash (przeładuj sshd po wpisie)

zmiana portu rozwiazuje problem zawalonych logów
skrypt ten skanuje port 22

w tym samym pliku:
Port 222

i po kłopocie
pozdrawiam
lacz

________________________________________________
www.ibq.pl
Received on Wed May 11 11:52:12 2005