1 Тема від HetmanNet Востаннє редагувалося HetmanNet (09.01.2016 13:43:37)

  • HetmanNet
  • HetmanNet
  • Ліцензований троль форуму Replace
  • Поза форумом
  • Звідки: Кременчук, Україна
  • Дата реєстрації: 18.07.2012
  • Повідомлень: 4 725
    • Репутація: 2490

Тема: [Вирішено][ProFTPd] Звідки це взялося?

Сьогодні в логу побачив доволі дивні строки.
Так виглядає стандартний запис (назви груп, користувачів, сервера, та ІР приховав):

[30/Mar/2015:08:22:19 +0300] [LAN] 192.168.1.93 => ServerName.domain [4129], Group:User, "PASS (hidden)" => 230, -(61)
[30/Mar/2015:08:22:19 +0300] [WAN] 195.225.146.93 => ServerName.domain [4129], Group:User, "PASS (hidden)" => 230, -(61)

Але виявив аномалію, точніше http запит замість ftp (ІР джерела справжнє, сервер на ftp порту, тобто на рідному):

[29/Mar/2015:04:09:58 +0300] [WAN] 182.118.60.96 => ServerName.domain [9437], -:-, "GET / HTTP/1.0" => 500, -(28)
[29/Mar/2015:04:09:58 +0300] [WAN] 182.118.60.96 => ServerName.domain [9437], -:-, "HOST: 195.225.146.93" => 500, -(52)

Можливо було би у логу більше ніж дві строки, але спрацював бан для тих хто надсилає невідомі команди:

2015-03-27 23:24:10,567 mod_ban/0.6.2[5987]: added ban event for UnhandledCommand
2015-03-27 23:25:43,249 mod_ban/0.6.2[3101]: ban event UnhandledCommand entry '80.82.64.37' has expired (33 seconds ago)
2015-03-29 04:09:58,589 mod_ban/0.6.2[9437]: added ban event for UnhandledCommand
2015-03-29 04:10:58,758 mod_ban/0.6.2[3101]: ban event UnhandledCommand entry '182.118.60.96' has expired (0 seconds ago)

2 Відповідь від HetmanNet Востаннє редагувалося HetmanNet (30.03.2015 13:34:13)

  • HetmanNet
  • HetmanNet
  • Ліцензований троль форуму Replace
  • Поза форумом
  • Звідки: Кременчук, Україна
  • Дата реєстрації: 18.07.2012
  • Повідомлень: 4 725
    • Репутація: 2490

Re: [Вирішено][ProFTPd] Звідки це взялося?

Вирішив заглянути в лог /var/log/secure.. а там весело..  і такі записи з різними ІР з'являються уночі що пару хвилин впродовж вже кількох тижнів.. хтось дуже впертий.. бо послідовність ІР однакова щоночі..

Mar 29 04:45:39 TestServer sshd[10688]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=113.142.37.210  user=root
Mar 29 04:45:39 TestServer sshd[10688]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Mar 29 04:45:41 TestServer sshd[10688]: Failed password for root from 113.142.37.210 port 20953 ssh2
Mar 29 04:45:42 TestServer sshd[10688]: Received disconnect from 113.142.37.210: 11: Bye Bye [preauth]

P.S. Згадав, треба fail2ban увімкнути  :[ А то вже годину ломаю голову чому з голови не йдуть думки про лог /var/log/secure .. а виявляється я забув його повернути у роботу..

3 Відповідь від reverse2500

  • reverse2500
  • reverse2500
  • Я діск С на троянському коні
  • Поза форумом
  • Звідки: UA Львів
  • Дата реєстрації: 08.07.2014
  • Повідомлень: 2 744
    • Репутація: 1318

Re: [Вирішено][ProFTPd] Звідки це взялося?

код відкритий, можна глянути в чому причина і закрити вразливість, жду патч  :D
а так спіть спокійно, в мережі так багато всякої зарази яка конектиться login:admin pass: admin

reverse2500 вебсайт

4 Відповідь від HetmanNet Востаннє редагувалося HetmanNet (30.03.2015 17:45:23)

  • HetmanNet
  • HetmanNet
  • Ліцензований троль форуму Replace
  • Поза форумом
  • Звідки: Кременчук, Україна
  • Дата реєстрації: 18.07.2012
  • Повідомлень: 4 725
    • Репутація: 2490

Re: [Вирішено][ProFTPd] Звідки це взялося?

Виявилося причиною того сміття у логу secure був бот сервісу shodan.. точніше більшої його частини..
Вже з логів зникло сміття.. точніше нове не прибуває..

5 Відповідь від HetmanNet Востаннє редагувалося HetmanNet (31.03.2015 07:16:29)

  • HetmanNet
  • HetmanNet
  • Ліцензований троль форуму Replace
  • Поза форумом
  • Звідки: Кременчук, Україна
  • Дата реєстрації: 18.07.2012
  • Повідомлень: 4 725
    • Репутація: 2490

Re: [Вирішено][ProFTPd] Звідки це взялося?

Так як нікого не здивував http запит на ftp сервер то тему у смітник.

6 Відповідь від Arete

  • Arete
  • Arete
  • Replace Team
  • Поза форумом
  • Звідки: Київ
  • Дата реєстрації: 19.07.2014
  • Повідомлень: 390
    • Репутація: 419

Re: [Вирішено][ProFTPd] Звідки це взялося?

Якась автоматизована фігня тикається куди тільки може, що тут дивного. Чи ви може мільйонер? :)

7 Відповідь від HetmanNet Востаннє редагувалося HetmanNet (31.03.2015 10:04:38)

  • HetmanNet
  • HetmanNet
  • Ліцензований троль форуму Replace
  • Поза форумом
  • Звідки: Кременчук, Україна
  • Дата реєстрації: 18.07.2012
  • Повідомлень: 4 725
    • Репутація: 2490

Re: [Вирішено][ProFTPd] Звідки це взялося?

Arete написав:

Якась автоматизована фігня тикається куди тільки може, що тут дивного. Чи ви може мільйонер? :)

А ви як думаєте?

Я ні.. здається.. але на тестовому серваку є сліди які ведуть на робочі.. а на робочих інфа компанії на .. ну короче на паршивеньку феррарі вистачить.. хоча якщо наділі підуть так справи як зараз то і на запор не лишиться..
кризу пережили майже без наслідків.. з горем попалам Яника пережили.. а ось чи вистачить сил на Пороха не знаємо..
а чого це вас так це зацікавило?

8 Відповідь від Arete

  • Arete
  • Arete
  • Replace Team
  • Поза форумом
  • Звідки: Київ
  • Дата реєстрації: 19.07.2014
  • Повідомлень: 390
    • Репутація: 419

Re: [Вирішено][ProFTPd] Звідки це взялося?

Тому що якщо ви не мільйонер то толку вас атакувати? Як дехто каже - не буде з цього шекеля. :)

9 Відповідь від HetmanNet Востаннє редагувалося HetmanNet (01.04.2015 08:50:35)

  • HetmanNet
  • HetmanNet
  • Ліцензований троль форуму Replace
  • Поза форумом
  • Звідки: Кременчук, Україна
  • Дата реєстрації: 18.07.2012
  • Повідомлень: 4 725
    • Репутація: 2490

Re: [Вирішено][ProFTPd] Звідки це взялося?

Arete написав:

Тому що якщо ви не мільйонер то толку вас атакувати? Як дехто каже - не буде з цього шекеля. :)

Це ви скажіть чуваку який так наполегливо хо root отримати

2015-04-01 08:44:58,294 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 113.195.145.79
2015-04-01 08:45:01,062 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 117.21.191.23
2015-04-01 08:45:01,165 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 124.234.13.254
2015-04-01 08:45:01,270 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 176.120.40.86   Україна
2015-04-01 08:45:01,373 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 182.100.67.102
2015-04-01 08:45:01,484 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 182.100.67.112
2015-04-01 08:45:01,587 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 182.100.67.114
2015-04-01 08:45:01,697 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 182.100.67.115
2015-04-01 08:45:01,809 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 193.104.41.89   Молдова
2015-04-01 08:45:01,922 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 202.201.13.178
2015-04-01 08:45:02,029 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 218.200.188.213
2015-04-01 08:45:02,137 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 218.30.99.119
2015-04-01 08:45:02,247 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 218.65.30.107
2015-04-01 08:45:02,359 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 218.65.30.23
2015-04-01 08:45:02,471 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 218.65.30.61
2015-04-01 08:45:02,583 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 218.87.109.62
2015-04-01 08:45:02,695 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 218.87.111.110
2015-04-01 08:45:02,805 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 218.87.111.116
2015-04-01 08:45:02,915 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 218.87.111.118
2015-04-01 08:45:03,022 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 221.10.131.95
2015-04-01 08:45:03,131 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 221.229.160.241
2015-04-01 08:45:03,240 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 222.161.4.148
2015-04-01 08:45:03,353 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 60.173.14.144
2015-04-01 08:45:03,464 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 61.166.189.69
2015-04-01 08:45:03,577 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 85.114.141.217   Німеччина
2015-04-01 08:45:03,686 fail2ban.actions        [22698]: NOTICE  [sshd] Ban 91.214.168.121   Швейцарія

Але ssd не гумовий

Сумніваюся, що він його отримає, але те що на серваку місце закінчиться із-за логів сумнівів майже не маю.. з такою інтенсивністю вже більше 10 днів старається.. а найцікавіше він це робить завжди вночі..
P.S. Час у логу 08:45 бо перезавантажив fail2ban, щоб отримати перелік всіх хто за ніч так старався разом без чисельних повторів. А так вони десь близько шостої ранку припиняють спроби.
P.P.S. В переліку майже всі ІР китайські, переважно університецькі. Є лише по одній з Молдови, Німеччини, Швейцарії та звісно України.

Подякували: 0xDADA11C71