Pagina 1 di 1

[RISOLTO] secondo voi è un attacco hacker???

Inviato: gio 26 ott 2006, 0:19
da Bakkio2
ho bisogno di un parere, stasera tornando a casa, mi sono trovato il server spento.
Permettendo il fatto che gli unici server aperti sono:
Ftp, con account ristretti
apache
sshd, con un unico account, che non è root.
Se posto cat /var/log/messages, mi da:

Codice: Seleziona tutto

Oct 24 23:54:38 b2s /usr/sbin/gpm[2285]: imps2: Auto-detected intellimouse PS/2
Oct 25 00:14:20 b2s -- MARK --
Oct 25 00:34:20 b2s -- MARK --
Oct 25 00:54:20 b2s -- MARK --
Oct 25 01:14:20 b2s -- MARK --
Oct 25 01:34:20 b2s -- MARK --
Oct 25 01:54:20 b2s -- MARK --
Oct 25 02:14:20 b2s -- MARK --
Oct 25 02:34:20 b2s -- MARK --
Oct 25 02:54:20 b2s -- MARK --
Oct 25 03:14:21 b2s -- MARK --
Oct 25 03:34:21 b2s -- MARK --
Oct 25 03:54:21 b2s -- MARK --
Oct 25 04:14:21 b2s -- MARK --
Oct 25 04:34:21 b2s -- MARK --
Oct 25 04:54:21 b2s -- MARK --
Oct 25 05:14:21 b2s -- MARK --
Oct 25 05:34:21 b2s -- MARK --
Oct 25 05:54:21 b2s -- MARK --
Oct 25 06:14:21 b2s -- MARK --
Oct 25 06:34:21 b2s -- MARK --
Oct 25 06:54:21 b2s -- MARK --
Oct 25 07:14:21 b2s -- MARK --
Oct 25 07:34:22 b2s -- MARK --
Oct 25 07:54:22 b2s -- MARK --
Oct 25 08:14:22 b2s -- MARK --
Oct 25 08:34:22 b2s -- MARK --
Oct 25 08:54:22 b2s -- MARK --
Oct 25 09:14:22 b2s -- MARK --
Oct 25 09:34:22 b2s -- MARK --
Oct 25 09:54:22 b2s -- MARK --
Oct 25 10:14:22 b2s -- MARK --
Oct 25 10:34:22 b2s -- MARK --
Oct 25 10:54:22 b2s -- MARK --
Oct 25 11:14:22 b2s -- MARK --
Oct 25 11:34:23 b2s -- MARK --
Oct 25 11:54:23 b2s -- MARK --
Oct 25 12:14:23 b2s -- MARK --
Oct 25 12:34:23 b2s -- MARK --
Oct 25 12:54:23 b2s -- MARK --
Oct 25 13:14:23 b2s -- MARK --
Oct 25 13:34:23 b2s -- MARK --
Oct 25 13:48:17 b2s sshd[5600]: Did not receive identification string from 83.64.191.62
Oct 25 13:49:36 b2s sshd[5605]: User root from 83-64-191-62.paris-lodron.xdsl-line.inode.at not allowed because not listed in AllowUsers
Oct 25 13:49:36 b2s sshd[5606]: input_userauth_request: invalid user root
Oct 25 13:49:36 b2s sshd[5605]: Failed password for invalid user root from 83.64.191.62 port 3197 ssh2
Oct 25 14:14:23 b2s -- MARK --
Oct 25 14:34:23 b2s -- MARK --
Oct 25 14:54:23 b2s -- MARK --
Oct 25 15:14:23 b2s -- MARK --
Oct 25 15:34:24 b2s -- MARK --
Oct 25 15:54:24 b2s -- MARK --
Oct 25 16:14:24 b2s -- MARK --
Oct 25 16:34:24 b2s -- MARK --
Oct 25 16:54:24 b2s -- MARK --
Oct 25 17:14:24 b2s -- MARK --
Oct 25 17:34:24 b2s -- MARK --
Oct 25 17:54:24 b2s -- MARK --
Oct 25 18:14:24 b2s -- MARK --
Oct 25 18:34:24 b2s -- MARK --
Oct 25 18:54:24 b2s -- MARK --
Oct 25 19:14:24 b2s -- MARK --
Oct 25 19:34:25 b2s -- MARK --
Oct 25 19:54:25 b2s -- MARK --
Oct 25 20:04:01 b2s named[2155]: unexpected RCODE (SERVFAIL) resolving 'ns.ovh.net/AAAA/IN': 212.27.32.132#53
Oct 25 20:14:25 b2s -- MARK --
Oct 25 20:34:25 b2s -- MARK --
Oct 25 20:45:19 b2s named[2155]: lame server resolving 'www.eea.europa.eu' (in 'eea.europa.EU'?): 217.74.208.67#53
Oct 25 21:00:00 b2s init: Switching to runlevel: 0
Oct 25 21:00:01 b2s /usr/sbin/gpm[2285]: *** info [mice.c(1766)]:
Oct 25 21:00:01 b2s /usr/sbin/gpm[2285]: imps2: Auto-detected intellimouse PS/2
Oct 25 21:00:06 b2s sshd[2152]: Received signal 15; terminating.
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/route del default
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/ifconfig eth0 down
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/ifconfig eth1 down
Oct 25 21:00:06 b2s logger: /etc/rc.d/rc.inet1:  /sbin/ifconfig lo down
Oct 25 21:00:06 b2s exiting on signal 15
Oct 26 00:09:35 b2s syslogd 1.4.1: restart.
come si può notare, da diversi giorni non avevo tentativi in ssh, solo uno oggi alle 13, ma fallito.
Improvvisamente però, alle 21 è andato da solo in runlevel 0 e 6 secondi dopo sshd termina.
Secondo voi, ho avuto un attacco non rilevato??? oppure la mia slack 11 è impazzita dopo neanche un mese???

Inviato: gio 26 ott 2006, 9:08
da alessiodf
Io dico la mia.. ma non darmi troppo retta! :oops:

Codice: Seleziona tutto

Oct 25 13:49:36 b2s sshd[5605]: Failed password for invalid user root from 83.64.191.62 port 3197 ssh2 
Se dici che root da ssh e' disabilitato, qualcuno, ci ha provato! Conosci quell'ip?

comunque.. il furbone non e' sicuramente riuscito ad entrare, ma credo che habbia usato un sistema automatico a ti abbia fatto un brute force.. Ora, non vorrei che sshd prende di sua iniziativa dei provvedimenti al verificarsi di troffi accessi che vanno male, e spenga la macchina.. RIPOTO: IMHO! :roll:

Inviato: gio 26 ott 2006, 10:12
da borgo.ema
Non è che nei file /etc/hosts.allow e /etc/hosts.deny

hai impostato un shutdown nel caso di tentato accesso root via ssh???

Inviato: gio 26 ott 2006, 10:41
da Bakkio2
apparte il fatto che non ho alba di come impostare uno shutdown a tentetivi di connessione, e la cosa mi piacerebbe saperla...
borgo.ema
Messaggio Inviato: Gio Ott 26, 2006 6:12 pm Oggetto:
Non è che nei file /etc/hosts.allow e /etc/hosts.deny

hai impostato un shutdown nel caso di tentato accesso root via ssh???
comunque, ho risolto l'enigma, la macchina è stata spenta manualmente da un çr€tinò di nome fratello, che non conosce la differenza tra un pc e un server, e che dopo aver combinato il danno, si lamenta pure che il suo portatile non va in internet in quanto il server faceva da firewall e proxy.....

Inviato: gio 26 ott 2006, 15:54
da Dani
Comunque, se ti avessero attaccato non sarebbero stati certamente degli hacker.