Удалённый доступ

[PavelDart]

Здравствуйте.
Систематически кто-то пытается подключиться ко мне через удалённый доступ.
url всегда разный. Подскажите, пожалуйста, через какой порт лезет зараза и возможно ли как-то выявить настоящий ip большого любителя схлопотать люлей?

[ruslandh]

http://lists.altlinux.org/pipermail/community/2010-April/663391.html

[chaos_dremel]

Здравствуйте.
Систематически кто-то пытается подключиться ко мне через удалённый доступ.
url всегда разный. Подскажите, пожалуйста, через какой порт лезет зараза и возможно ли как-то выявить настоящий ip большого любителя схлопотать люлей?

А откуда вы знаете, что кто-то к вам лезет

[PavelDart]

http://lists.altlinux.org/pipermail/community/2010-April/663391.html

Да, именно это.
Но у меня нет внешнего ip - значит атака внутрисетевая?

[PavelDart]

А откуда вы знаете, что кто-то к вам лезет

Могут быть варианты?

May  2 19:38:40 localhost sshd[6722]: Unable to check blacklist for host key d5:91:e7:6a:fe:92:20:4f:7b:a0:ce:18:b9:52:0a:10
May  2 19:38:40 localhost sshd[6722]: Unable to check blacklist for host key aa:6e:0a:93:75:3a:b2:13:14:79:14:78:ee:ee:6c:92
May  2 19:38:40 localhost sshd[6722]: Did not receive identification string from 202.137.141.254
May  2 19:39:48 localhost sshd[6732]: Unable to check blacklist for host key d5:91:e7:6a:fe:92:20:4f:7b:a0:ce:18:b9:52:0a:10
May  2 19:39:48 localhost sshd[6732]: Unable to check blacklist for host key aa:6e:0a:93:75:3a:b2:13:14:79:14:78:ee:ee:6c:92
May  2 19:39:57 localhost sshd[6732]: Failed password for ROOT USER root from 202.137.141.254 port 51049 ssh2
May  2 19:39:58 localhost sshd[6735]: Connection closed by 202.137.141.254

[chaos_dremel]

А откуда вы знаете, что кто-то к вам лезет

Могут быть варианты?

May  2 19:38:40 localhost sshd[6722]: Unable to check blacklist for host key d5:91:e7:6a:fe:92:20:4f:7b:a0:ce:18:b9:52:0a:10
May  2 19:38:40 localhost sshd[6722]: Unable to check blacklist for host key aa:6e:0a:93:75:3a:b2:13:14:79:14:78:ee:ee:6c:92
May  2 19:38:40 localhost sshd[6722]: Did not receive identification string from 202.137.141.254
May  2 19:39:48 localhost sshd[6732]: Unable to check blacklist for host key d5:91:e7:6a:fe:92:20:4f:7b:a0:ce:18:b9:52:0a:10
May  2 19:39:48 localhost sshd[6732]: Unable to check blacklist for host key aa:6e:0a:93:75:3a:b2:13:14:79:14:78:ee:ee:6c:92
May  2 19:39:57 localhost sshd[6732]: Failed password for ROOT USER root from 202.137.141.254 port 51049 ssh2
May  2 19:39:58 localhost sshd[6735]: Connection closed by 202.137.141.254

У меня на работе ssh  сканят 24 часа в сутки, причем совершенно разные IP. Правда нас из интернета сканят - так что сделать ничего не можем.

[lx001]

Поставьте sshd на порт =/= 22, долбодятлов станет меньше.

[chaos_dremel]

Поставьте sshd на порт =/= 22, долбодятлов станет меньше.

Гы, только так и спасаемся

[PavelDart]

А по поводу источника атаки: так как у меня машина выходить в интернет по динамическому ip, мне из вне ни кто достучаться в принципе не может? Или я ошибаюсь?

[ruslandh]

Почему не может - очень даже может. А источником атаки вообще может быть любая машина с Windows, заражённая трояном, и составляющая часть зомби-сети.

[Storke]

Я эту долбежку проходил на Юниоре 4.0 еще два года назад. Долбились из школьного сегмента (10.x.x.x). А Юниор как работал, так и работает до сих пор.

Поставьте sshd на порт =/= 22, долбодятлов станет меньше.

А нельзя ли по подробней о маскировании 22 порта?

[lx001]

В /etc/openssh/sshd_config пишется:

  Port номер_порта

После этого service sshd restart